Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O uso do recurso de proteção de segurança de tarefas permitirá que os proprietários de tarefas executem suas tarefas com privilégios mínimos necessários. Observe que este recurso está ativado por padrão e os proprietários de tarefas podem fazer ajustes adicionais usando o identificador de segurança de token do processo da tarefa e a lista de privilégios necessários para a tarefa.
Tipo de SID de Token de Processo de Tarefa e Matriz de Privilégios Necessários de Tarefa
Especificar ProcessTokenSidType ao nível da definição da tarefa permite que os responsáveis pelas tarefas solicitem a execução de um processo de tarefa com o tipo SID "nenhum" ou o tipo SID "irrestrito". Se o campo estiver presente na definição da tarefa, a validação garante que a tarefa UserId contenha o nome ou a cadeia de caracteres SID correspondente para uma dessas contas de serviço internas do sistema operacional: "SERVIÇO DE REDE" ou "SERVIÇO LOCAL".
O tipo SID "none" significa que a tarefa é executada em um processo que não contém um SID de token de processo (nenhuma alteração será feita na lista de grupos de token de processo). Nesse caso, o SID da conta principal da tarefa (LocalService/NetworkService) tem acesso total ao token do processo.
O tipo SID "irrestrito" significa que um SID de tarefa será derivado do caminho completo da tarefa e será adicionado à lista de grupos de token de processo. Por exemplo, o \Microsoft\Windows\RAC\RACTask que é executado na conta de Serviço Local, a tarefa SID é derivada do nome Microsoft-Windows-RAC-RACTask onde um "-" é substituído por um "\", uma vez que "\" é um caractere de nome de usuário inválido. O nome de grupo bem conhecido para o SID da tarefa seria "NT TASK\<modificado caminho completo da tarefa>" (formato de nome de domínio\nome de usuário). A lista de controle de acesso discricionário (DACL) padrão do token de processo também será modificada para permitir controle total apenas para o SID da tarefa e o SID do sistema local e o controle de leitura para o SID da conta principal da tarefa. "schtasks.exe /showsid /tn <caminho completo da tarefa>" mostrará o SID correspondente à tarefa."
Quando uma ação de tarefa não-COM é iniciada, o mecanismo de agendamento registra-se na conta principal da tarefa, obtém o token de processo, consulta a lista de privilégios que o token possui e, em seguida, compara-os com a lista de privilégios especificada em RequiredPrivileges. Se um privilégio não for especificado neste último, esse privilégio será marcado como SE_PRIVILEGE_REMOVED. A ação executável será então iniciada com o identificador de token resultante usando a API CreateProcessAsUser.
Quando uma ação de tarefa COM é iniciada, ela deve ser ativada pelo processo taskhost.exe. O mecanismo de agendamento consulta o bloco de contexto de cada taskhost.exe que está em execução e que possui a mesma conta da tarefa inicial. Se ele descobrir que um processo de host foi iniciado com um superconjunto de privilégios que a tarefa inicial precisa, essa tarefa será hospedada nesse processo. Se não encontrar tal processo, ele combina as informações de robustecimento de todas as tarefas que estão a ser executadas nos taskhosts sob a conta principal da tarefa com a máscara RequiredPrivileges especificada e, em seguida, inicia uma nova instância de taskhost.exe.
Se RequiredPrivileges não estiver presente na definição da tarefa, os privilégios padrão da conta principal da tarefa sem o SeImpersonatePrivilege serão usados para o processo da tarefa. Se o "ProcessTokenSidType" não estiver presente na definição da tarefa, utiliza-se "unrestricted" como padrão.
Tópicos relacionados