Light-electric.com

IT Журнал
7 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контекст безопасности задания

Контекст безопасности задания

По умолчанию назначенное задание запускается в контексте безопасности пользователя, который назначил это задание, и только в том случае, если этот пользователь находится в системе в момент активации триггера задания. Настройки по умолчанию можно изменить в группе Параметры безопасности на вкладке Общие окна свойств задания.

Чтобы выбрать для задания учетную запись другого пользователя или группы, нажмите кнопку Изменить пользователя или группу. Если текущий пользователь не является членом группы «Администраторы», вместо этой кнопки будет отображаться кнопка Изменить пользователя. Пользователи, не входящие в группу «Администраторы», могут назначить только учетную запись пользователя, с которой будет запускаться задание.

Если задание зарегистрировано с использованием группы «Администраторы» для контекста безопасности задания, для выполнения задания необходимо также убедиться, что установлен флажок Выполнить с наивысшими правами.

Можно настроить запуск задания даже в том случае, если пользователь, для которого задание должно запускаться, не находится в системе на момент активации триггера задания. Для этого выберите переключатель Выполнять вне зависимости от регистрации пользователя. Если этот переключатель выбран, задания не будут запускаться в интерактивном режиме. Для запуска задания в интерактивном режиме выберите переключатель Выполнять только для зарегистрированного пользователя.

При выбранном параметре Выполнять вне зависимости от регистрации пользователя пользователю могут предложить ввести учетные данные при сохранении задания вне независимости от того, установлен ли флажок Не сохранять пароль. Если в момент активации триггера задания пользователь не находится в системе, служба использует сохраненные учетные данные для запуска с помощью указанной учетной записи и имеет право на неограниченное использование полученного токена.

При установленном флажке Не сохранять пароль планировщик заданий не сохраняет учетные данные, предоставленные на локальном компьютере, а удаляет их после проверки подлинности пользователя. При необходимости запуска задания планировщик заданий использует расширения Service-for-User (S4U) для протокола проверки подлинности Kerberos для извлечения токена пользователя.

При использовании S4U возможность службы использовать контекст безопасности учетной записи ограничена. В частности, служба безопасности может использовать контекст безопасности только для получения доступа к локальным ресурсам.

  • Если для выполнения задания требуется доступ к сетевым ресурсам, использование S4U не допускается; в противном случае задание не будет выполнено. Единственным исключением является ситуация, при которой между компьютерами, участвующими в операции, установлено ограниченное делегирование.
  • Возможность S4U будет доступной только в среде, в которой все контроллеры домена (DC) в домене работают под управлением Windows Server 2003 или более поздней версии операционной системы.
  • При использовании S4U задание не будет иметь доступа к зашифрованным файлам.

При использовании возможности S4U убедитесь, что для пользователя установлена политика Вход в качестве пакетного задания. Для этого последовательно откройте компоненты Панель управления, Администрирование и Локальная политика безопасности. В окне Локальная политика безопасности последовательно выберите Локальная политика, Назначение прав пользователя и Вход в качестве пакетного задания.

Дополнительные сведения о расширениях S4U Kerberos см. в разделе
RFC 1510 .

При установленном флажке Выполнить с наивысшими правами при запуске задания вместо токена наименьшего уровня привилегий (UAC) планировщик заданий будет использовать токен повышенного уровня привилегий. С повышенным привилегиями должны запускаться только задания с действиями, для выполнения которых требуются повышенные привилегии. Дополнительные сведения см. в разделе
Контроль учетных записей .

Ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания в планировщике windows 2008r2 / 2012r2

Ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания в планировщике windows 2008r2 / 2012r2

ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания-01

При создании в планировщике windows задания и попытке его запустить выскакивает ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания. Дело в том что учетной записи от имени которой пытаюсь запустить не хватает прав.

Эта настройка безопасности позволяет пользователю входить в систему с помощью средства обработки пакетных заданий.

Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному.

Примечание

  • В операционных системах Windows 2000 Server, Windows 2000 Professional, Windows XP Professional. и семейства Windows Server 2003 планировщик заданий автоматически предоставляет это право как обязательное.

Решить данную проблему можно либо в локальной либо в групповой политике прописать нужный параметр и дать нужному пользователю права по пути Учетной записи, от имени которой должно выполнятся задание, в «Локальной политике безопасностиКонфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя» должно быть выделено право «Вход в качестве пакетного задания» (В аноязычном интерфейсе будет в «Local policyComputer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment» выделятся «Log on as a batch job» ).

ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания-02

по умолчанию права в этой группе имеют Администраторы и Операторы архива, их не забудьте сюда добавить в групповой политике, а то затрете их права.

ошибка Данное задание требует, чтобы указанная учетная запись пользователя имела права вход в качестве пакетного задания-03

и еще В свойствах задания (на первой странице) НЕ ДОЛЖЕН БЫТЬ ВКЛЮЧЕН пункт «Выполнять только при выполненном входе в систему» или Выполнять вне зависимости от регистрации пользователя («Run if user logon»), в самом задании.

Спецификации Internet-сообщества IPsec

Протокольные контексты и политика безопасности

Системы, реализующие IPsec, должны поддерживать две базы данных :

  • базу данных политики безопасности (Security policy Database, SpD );
  • базу данных протокольных контекстов безопасности (Security Association Database, SAD ).
Читать еще:  Настройка параметров безопасности

Все IP -пакеты (входящие и исходящие) сопоставляются с упорядоченным набором правил политики безопасности . При сопоставлении используется фигурирующий в каждом правиле селектор — совокупность анализируемых полей сетевого уровня и более высоких протокольных уровней. Первое подходящее правило определяет дальнейшую судьбу пакета:

  • пакет может быть ликвидирован;
  • пакет может быть обработан без участия средств IPsec;
  • пакет должен быть обработан средствами IPsec с учетом набора протокольных контекстов , ассоциированных с правилом.

Таким образом, системы, реализующие IPsec, функционируют как межсетевые экраны, фильтруя и преобразуя потоки данных на основе предварительно заданной политики безопасности.

Далее мы детально рассмотрим контексты и политику безопасности, а также порядок обработки сетевых пакетов.

Протокольный контекст безопасности в IPsec — это однонаправленное «соединение» (от источника к получателю), предоставляющее обслуживаемым потокам данных набор защитных сервисов в рамках какого-то одного протокола (AH или ESp). В случае симметричного взаимодействия партнерам придется организовать два контекста (по одному в каждом направлении). Если используются и AH , и ESp, потребуется четыре контекста.

Элементы базы данных протокольных контекстов содержат следующие поля (в каждом конкретном случае некоторые значения полей будут пустыми):

  • используемый в протоколе AH алгоритм аутентификации, его ключи и т.п.;
  • используемый в протоколе ESp алгоритм шифрования, его ключи, начальный вектор и т.п.;
  • используемый в протоколе ESp алгоритм аутентификации, его ключи и т.п.;
  • время жизни контекста;
  • режим работы IPsec: транспортный или туннельный ;
  • максимальный размер пакетов;
  • группа полей (счетчик, окно, флаги) для защиты от воспроизведения пакетов.

Пользователями протокольных контекстов , как правило, являются прикладные процессы. Вообще говоря, между двумя узлами сети может существовать произвольное число протокольных контекстов , так как число приложений в узлах произвольно. Отметим, что в качестве пользователей управляющих контекстов обычно выступают узлы сети (поскольку в этих контекстах желательно сосредоточить общую функциональность, необходимую сервисам безопасности всех протокольных уровней эталонной модели для управления криптографическими ключами ).

Управляющие контексты — двусторонние, т. е. любой из партнеров может инициировать новый ключевой обмен. Пара узлов может одновременно поддерживать несколько активных управляющих контекстов, если имеются приложения с существенно разными криптографическими требованиями. Например, допустима выработка части ключей на основе предварительно распределенного материала, в то время как другая часть порождается по алгоритму Диффи-Хелмана.

Протокольный контекст для IPsec идентифицируется целевым IP -адресом, протоколом ( AH или ESp), а также дополнительной величиной — индексом параметров безопасности ( Security parameter Index , SpI). Последняя величина необходима, поскольку могут существовать несколько контекстов с одинаковыми IP -адресами и протоколами. Далее будет показано, как используются индексы SpI при обработке входящих пакетов.

IPsec обязывает поддерживать ручное и автоматическое управление контекстами безопасности и криптографическими ключами. В первом случае все системы заранее снабжаются ключевым материалом и иными данными, необходимыми для защищенного взаимодействия с другими системами. Во втором — материал и данные вырабатываются динамически, на основе определенного протокола — IKE [ 46 ] , поддержка которого обязательна.

Протокольный контекст создается на базе управляющего с использованием ключевого материала и средств аутентификации и шифрования последнего. В простейшем случае, когда протокольные ключи генерируются на основе существующих, последовательность передаваемых сообщений выглядит так, как показано на рис. 9.4.

Когда вырабатывался управляющий контекст , для него было создано три вида ключей:

  • SKEYID_d — ключевой материал, используемый для генерации протокольных ключей;
  • SKEYID_a — ключевой материал для аутентификации;
  • SKEYID_e — ключевой материал для шифрования.

Все перечисленные виды ключей задействованы в обмене, показанном на рис. 9.4. Ключом SKEYID_e шифруются сообщения. Ключ SKEYID_a служит аргументом хэш-функций и тем самым аутентифицирует сообщения. Наконец, протокольные ключи — результат применения псевдослучайной (хэш) функции к SKEYID_d с дополнительными параметрами, в число которых входят одноразовые номера инициатора и партнера. В результате создание протокольного контекста оказывается аутентифицированным, защищенным от несанкционированного ознакомления, от воспроизведения сообщений и от перехвата соединения.

Сообщения (1) и (2) могут нести дополнительную нагрузку, например, данные для выработки «совсем новых» секретных ключей или идентификаторы клиентов, от имени которых ISAKMp -серверы формируют протокольный контекст . В соответствии с протоколом IKE , за один обмен (состоящий из трех показанных на рис. 9.4 сообщений) формируется два однонаправленных контекста — по одному в каждом направлении. Получатель контекста задает для него индекс параметров безопасности (SpI), помогающий находить контекст для обработки принимаемых пакетов IPsec.

Строго говоря, протокольные контексты играют вспомогательную роль, будучи лишь средством проведения в жизнь политики безопасности; она должна быть задана для каждого сетевого интерфейса с задействованными средствами IPsec и для каждого направления потоков данных (входящие/исходящие). Согласно спецификациям IPsec [ 63 ] , политика рассчитывается на бесконтекстную (независимую) обработку IP -пакетов, в духе современных фильтрующих маршрутизаторов. Разумеется, должны существовать средства администрирования базы данных SpD , так же, как и средства администрирования базы правил межсетевого экрана, однако этот аспект не входит в число стандартизуемых.

С внешней точки зрения, база данных политики безопасности ( SpD ) представляет собой упорядоченный набор правил. Каждое правило задается как пара:

  • совокупность селекторов ;
  • совокупность протокольных контекстов безопасности .

Селекторы служат для отбора пакетов, контексты задают требуемую обработку. Если правило ссылается на несуществующий контекст , оно должно содержать достаточную информацию для его (контекста) динамического создания. Очевидно, в этом случае требуется поддержка автоматического управления контекстами и ключами. В принципе, функционирование системы может начинаться с задания базы SpD при пустой базе контекстов ( SAD ); последняя будет наполняться по мере необходимости.

Читать еще:  Безопасный режим что нажать

Дифференцированность политики безопасности определяется селекторами , употребленными в правилах. Например, пара взаимодействующих хостов может использовать единственный набор контекстов, если в селекторах фигурируют только IP -адреса; с другой стороны, набор может быть своим для каждого приложения, если анализируются номера TCp- и UDp-портов. Аналогично, два защитных шлюза способны организовать единый туннель для всех обслуживаемых хостов или же расщепить его (путем организации разных контекстов) по парам хостов или даже приложений.

Все реализации IPsec должны поддерживать селекцию следующих элементов:

  • исходный и целевой IP-адреса (адреса могут быть индивидуальными и групповыми, в правилах допускаются диапазоны адресов и метасимволы «любой»);
  • имя пользователя или узла в формате DNS или X.500;
  • транспортный протокол;
  • номера исходного и целевого портов (здесь также могут использоваться диапазоны и метасимволы).

Обработка исходящего и входящего трафика, согласно [ 63 ] , не является симметричной. Для исходящих пакетов просматривается база SpD , находится подходящее правило, извлекаются ассоциированные с ним протокольные контексты и применяются соответствующие механизмы безопасности. Во входящих пакетах для каждого защитного протокола уже проставлено значение SpI, однозначно определяющее контекст . Просмотр базы SpD в таком случае не требуется; можно считать, что политика безопасности учитывалась при формировании соответствующего контекста. (Практически это означает, что ISAKMp -пакеты нуждаются в особой трактовке, а правила с соответствующими селекторами должны быть включены в SpD .)

Отмеченная асимметрия , на наш взгляд, отражает определенную незавершенность архитектуры IPsec. В более раннем, по сравнению с [ 63 ] , документе RFC 1825 понятия базы данных политики безопасности и селекторов отсутствовали. В новой редакции сделано полшага вперед — специфицирован просмотр базы SpD как обязательный для каждого исходящего пакета, но не изменена обработка входящих пакетов. Конечно, извлечение контекста по индексу SpI эффективнее, чем просмотр набора правил, но при таком подходе, по меньшей мере, затрудняется оперативное изменение политики безопасности. Что касается эффективности просмотра правил, то ее можно повысить методами кэширования, широко используемыми при реализации IP .

Возможно, еще более серьезным недостатком является невозможность обобщения предложенных процедур формирования контекстов (управляющих и протокольных) на многоадресный случай. В текущих спецификациях IPsec смешиваются две разные вещи — область действия контекста (сейчас это односторонний или двусторонний поток данных) и способ его идентификации (по индексу SpI или паре идентифицирующих цепочек). Получается, что способ идентификации (именования) навязывает трактовку области действия, что представляется неверным. На наш взгляд, вопросы именования могут решаться локально, а область действия контекста потенциально должна распространяться на произвольное число партнеров.

Контекст безопасности задания

Вопрос

Возникла проблема с продуктом Microsoft Server 2003 R 2 Standard x 64 Edition . Назначенные задания запускаются на исполнение только если аккакунт того пользователя, под которым задание выполняется залогинен. Если профиль аккаунта не загружен, то задача не выполняется. Прошу подсказать возможные причины возникновения и пути решения проблемы.

Ответы

2 osr_
Я тоже как-то раз столкнулся с таким же, мягко говоря, «странным» поведением планировщика задач. У Rustam4ik скорее всего проблема выглядит таим образом: пользователь непривилигированнй, от его имени создается ЛЮБОЕ задание, но выполняется оно только при интерактивном входе на сервер от имени этого пользователя. Я как-то решил эту задачу, но это было уже больше года назад и сейчас подробно не вспомню, но постараюсь.

2 Rustam4ik

Проверьте, пожалуйста, соблюдены ли у Вас следующие условия:

1. Учетной записи, от имени которой должно выполнятся задание, в «Локальной политике безопасностиКонфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя» должно быть выделено право » Вход в качестве пакетного задания » (В аноязычном интерфейсе будет в «Local policyComputer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment» выделятся » Log on as a batch job » ). Обратите внимание, чтобы в этой же ветке не установливалось для данной учетной записи запрещение: » Отказ во входе в качестве пакетного задания » (» Deny log on as a batch job «).
2. В свойствах задания (на певой странице) НЕ ДОЛЖЕН БЫТЬ ВКЛЮЧЕН пункт «Выполнять только при выполненном входе в систему» («Run if user logon»).

Если же эти условия Вами соблюдены, и пакетное задание все равно выполняется только при полном входе пользователя в систему локально или терминально (я встречался с таким парадоксом), а Вам необходимо выполнение именно при неинтерактивном режиме, то могу предложить такой «обхдной маневр» (пока не разберемся с Вашей проблемой)

1. Создайте учетную запись, от имени которой никто и никогда не должен работать инетрактивно (у меня такими записями являются учетнные записи для выполнения каких-либо неинтерактивных сервисных операция, например: выполнение резервного копирования, доступ в интернет для служб WSUS, систем обновления антивирусных программ, выполнение сервисных операций по обслуживанию серверов и пользовательских компьютеров и так далее).

2. Добавьте учетную запись, от имени которой выполняется задание, в группу «локальные администраторы»

3. В локальных политиках безопасности отберите у этой учетно записи «Разрешение локального входа» и «Разрешение входа в систему через службы терминалов»

4. Если эта учетная запись нужна должна быть локальной и не должна работать в сети, то отнимите также право «Доступ к этому компьютеру из сети».

Лучше (если не уверенны четко), то эти действия выполняйте пока не через GPO, а напрямую редактируя локальные политики, а то можете затереть уже установленные на сервере параметры.

Попробуйте отработать задание именно в таких условиях.

Читать еще:  Win 8 безопасный режим

PS.
Обязательно напишите, удалось ли Вам что-нибудь решить (с нашей помощью или самостоятельно).

Контекст безопасности задания

В этом разделе будут рассмотрены базовые элементы обобщенного интерфейса безопасности GSS-API.

Удостоверение — это структура данных, позволяющая ее владельцу доказать партнеру по общению или третьей стороне, что он (владелец) является именно тем, за кого себя выдает. Таким образом, в GSS-API удостоверения выступают как средство аутентификации.

Естественно, что служба безопасности (например, Kerberos) совместно с операционной системой должны обеспечить защиту удостоверений от несанкционированного использования и/или изменения. Процессам, действующим от имени пользователей, не предоставляется прямого доступа к удостоверениям. Вместо этого, при необходимости процессы снабжаются дескрипторами удостоверений. Дескрипторы не содержат секретной информации и не нуждаются в защите. Нет смысла воровать дескрипторы, поскольку их интерпретация для разных процессов-предъявителей будет различной.

Вообще говоря, одному пользователю могут понадобиться удостоверения нескольких видов. Во-первых, структура удостоверений, несомненно, зависит от механизма безопасности, стоящего за обобщенным интерфейсом. Во-вторых, можно представить себе ситуацию, когда для общения с разными партнерами нужны различные удостоверения. В-третьих, особым образом должны быть устроены так называемые делегируемые удостоверения, служащие для передачи прав на выполнение определенных действий от имени некоторого пользователя. Есть и другие факторы, влияющие на структуру удостоверений.

В процессе входа пользователя в систему могут формироваться удостоверения стандартного вида, выдаваемые по умолчанию.

Контекст безопасности — это пара структур данных (по одной локально хранимой структуре для каждого партнера по общению), в которых содержится разделяемая информация о состоянии процесса общения, необходимая для защиты пересылаемых сообщений. Как и удостоверения, контексты безопасности хранятся внутренним для службы безопасности образом — прикладные процессы снабжаются лишь дескрипторами контекстов. Контексты формируются на основании локально выданных или делегированных удостоверений.

Партнеры по общению могут по очереди или одновременно использовать несколько контекстов, если необходимо поддерживать информационные потоки разной степени защищенности.

Интерфейс GSS-API не зависит от используемого сетевого протокола. По этой причине формирование контекста безопасности никак не связано с установлением соединения в сетевом смысле. Более того, для GSS-API безразлично, используется ли протокол с установлением соединения или без такового. Организация потока сообщений, а также выделение из входного потока данных, генерируемых в рамках GSS-API, — обязанность прикладных систем.

Токены безопасности — это элементы данных, пересылаемые между пользователями интерфейса GSS-API с целью поддержания работоспособности этого интерфейса и защиты прикладной информации. Токены подразделяются на два класса. Контекстный класс предназначен для установления контекстов безопасности и для выполнения управляющих действий над ними. В рамках уже установленного контекста для защиты сообщений используются токены сообщений.

Когда приложение хочет начать общение с удаленным партнером, оно обращается к интерфейсу GSS-API с просьбой инициализировать контекст. В ответ возвращается контекстный токен безопасности, который приложение обязано переслать партнеру. Тот, получив токен, передает его локальному экземпляру GSS-API для проверки подлинности инициатора и продолжения (обычно — завершения) формирования контекста.

Если приложению необходимо защитить сообщение, обеспечив возможность контроля целостности и подлинности источника данных, оно передает сообщение интерфейсу GSS-API, получая в ответ токен, содержащий криптографическую контрольную сумму (имитовставку, хэш, дайджест), заверенную электронной подписью отправителя. После этого приложение должно переслать как само сообщение, так и защищающий его токен. Партнер, получив обе порции данных, передает их своему локальному экземпляру GSS-API для проверки авторства и целостности.

Для приложения структура токенов безопасности является закрытой. Токены генерируются и контролируются исключительно функциями GSS-API. Дело приложения — переслать их и передать соответствующим функциям для обработки. Естественно, служба безопасности обнаружит попытки приложения изменить токен, если подобные попытки будут предприняты.

Вполне возможно, что на удаленных системах функционирует несколько различных служб безопасности. В этих условиях для успешного формирования контекста безопасности партнеры по общению должны тем или иным способом договориться о том, какая именно служба будет использоваться.

Конкретная служба характеризуется типом реализуемого механизма безопасности. В свою очередь, тип обозначается посредством структуры данных, называемой идентификатором объекта. На уровне обобщенного программного интерфейса структура идентификаторов объектов не уточняется.

Каждая система обязана предлагать некоторый механизм безопасности как подразумеваемый, которым приложению и рекомендуется пользоваться из соображений мобильности.

Если токены являются структурой, закрытой для приложений, то структура имен, употребляемых при формировании контекста безопасности (имеются в виду имена партнеров по общению), закрыта для функций GSS-API. Имена рассматриваются этими функциями просто как последовательности байт, интерпретируемые, вероятно, коммуникационными компонентами приложений.

В GSS-API предусматривается наличие трех типов имен — внутренних, печатных и объектных. Как правило, аргументами функций GSS-API служат внутренние имена. Интерфейс GSS-API предоставляет функции для преобразования имен и выполнения некоторых других действий над ними.

Отметим, что интерпретация имен — дело довольно сложное, поскольку они могут, вообще говоря, принадлежать разным пространствам имен. Чтобы избежать неоднозначности, в состав имени включается идентификатор его типа.

Чтобы усилить защиту информации, в интерфейсе GSS-API предлагается возможность связывания контекста безопасности с определенными каналами передачи данных. Более точно, инициатор формирования контекста может указать набор каналов, которые допустимо использовать в рамках открываемого сеанса общения. Партнер должен подтвердить свое согласие на связывание с этим набором каналов. Канал характеризуется целевым адресом и некоторыми другими параметрами, такими как формат пересылаемой по нему информации, степень ее защищенности и т.п. Если так случится, что токен, отправленный для установления контекста, будет перехвачен, использование соответствующего контекста ограничится рамками связанных с ним каналов. Это, как можно надеяться, затруднит действия злоумышленника.

Ссылка на основную публикацию
Adblock
detector