Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'uso della funzionalità di protezione avanzata delle attività consentirà ai proprietari delle attività di eseguire le attività con privilegi minimi necessari. Si noti che questa funzionalità è abilitata per impostazione predefinita e i proprietari delle attività possono apportare ulteriori modifiche usando il tipo di identificatore di sicurezza del token del processo attività e la matrice di privilegi necessari per le attività.
Tipo di SID del Token del Processo Attività e Matrice di Privilegi Necessari per il Processo Attività
Specificando ProcessTokenSidType a livello di definizione dell'attività, i proprietari delle attività possono richiedere che un processo dell'attività venga eseguito con il tipo SID "nessuno" ("none") o con il tipo SID "senza restrizioni" ("unrestricted"). Se il campo è presente nella definizione dell'attività, la convalida garantisce che l'id utente dell'attività contenga il nome o la stringa SID corrispondente per uno di questi account del servizio predefiniti del sistema operativo: "NETWORK SERVICE" o "LOCAL SERVICE".
Il tipo SID "none" indica che l'attività viene eseguita in un processo che non contiene un SID del token di processo (non verranno apportate modifiche all'elenco dei gruppi di token di processo). Il SID dell'account principale dell'attività (LocalService/NetworkService) in questo caso ha accesso completo al token del processo.
Il tipo SID "senza restrizioni" indica che un SID dell'attività verrà derivato dal percorso completo dell'attività e verrà aggiunto all'elenco dei gruppi di token di processo. Ad esempio, \Microsoft\Windows\RAC\RACTask che viene eseguita nell'account Servizio locale, il SID dell'attività è derivato dal nome Microsoft-Windows-RAC-RACTask dove un "-" viene sostituito per un "\" poiché "\" è un carattere di nome utente non valido. Il nome di gruppo noto per il SID dell'attività sarà "NT TASK\<percorso completo dell'attività modificato>" (formato nomedominio\nomeutente). L'elenco di controllo di accesso discrezionale (DACL) del token di processo predefinito verrà modificato per consentire il controllo completo solo per il SID dell'attività e il SID del sistema locale e l'accesso in lettura per il SID dell'account principale dell'attività. "schtasks.exe /showsid /tn <percorso completo dell'attività>" mostrerà il SID corrispondente all'attività.
Quando viene avviata un'azione di un'attività non-COM, il motore di pianificazione accede all'account principale dell'attività, ottiene il token di processo e interroga l'elenco dei privilegi del token e quindi lo confronta con l'elenco di privilegi specificato in RequiredPrivileges. Se in quest'ultimo non viene specificato un privilegio, tale privilegio viene contrassegnato come SE_PRIVILEGE_REMOVED. L'azione eseguibile verrà quindi avviata con l'handle di token risultante usando l'API CreateProcessAsUser.
Quando un'attività dell'azione COM viene avviata, deve essere attivata dal processo taskhost.exe. Il motore di pianificazione esegue una query sul blocco di contesto di ogni taskhost.exe in esecuzione che utilizza lo stesso account dell'attività iniziale. Se rileva che un processo host è stato avviato con un superset di privilegi necessari per l'attività iniziale, tale attività viene ospitata in tale processo. Se non trova un processo di questo tipo, combina le informazioni di protezione di tutte le attività in esecuzione negli host di attività nell'account principale delle attività con la maschera RequiredPrivileges specificata e quindi avvia una nuova istanza di taskhost.exe.
Se RequiredPrivileges non è presente nella definizione dell'attività, verranno utilizzati i privilegi predefiniti dell'account principale dell'attività senza SeImpersonatePrivilege per il processo dell'attività. Se ProcessTokenSidType non è presente nella definizione dell'attività, viene usato "senza restrizioni" come impostazione predefinita.
Argomenti correlati