작업에 대한 보안 컨텍스트

  • 아티클

태스크는 특정 보안 컨텍스트에서 등록되고 실행됩니다. 사용자는 작업을 성공적으로 등록, 업데이트, 삭제 또는 실행하는 애플리케이션을 만들 수 있지만 작업이 등록되고 애플리케이션이 올바른 권한으로 프로세스에서 실행 중이어야 할 때 사용자는 올바른 자격 증명을 제공해야 합니다.

자격 증명 지정

ITaskFolder::RegisterTask 또는 ITaskFolder::RegisterTaskDefinition(스크립팅을 위한 TaskFolder.RegisterTask 또는 TaskFolder.RegisterTaskDefinition) 메서드에서 자격 증명을 지정하거나 보안 주체를 ITaskDefinition의 보안 속성(스크립팅용 TaskDefinition.Principal)에 할당하여 작업에 대한 보안 컨텍스트를 지정할 수 있습니다. 작업 정의에 대한 보안 주체를 만든 다음, 메서드 매개 변수에 지정된 다른 자격 증명이 있는 RegisterTaskDefinition 메서드를 사용하여 작업 정의를 등록하는 경우 RegisterTaskDefinition 메서드에 지정된 자격 증명이 보안 주체의 자격 증명을 덮어쓰게 됩니다. XML을 사용하여 작업 정의에 대한 보안 주체를 만든 다음, 메서드 매개 변수에 지정된 다른 자격 증명이 있는 RegisterTask 메서드를 사용하여 태스크의 XML을 등록하면 RegisterTask 메서드에 지정된 자격 증명이 보안 주체의 자격 증명을 덮어쓰게 됩니다.

작업을 등록하거나 작업에 대한 원칙을 지정할 때 사용자 계정 또는 그룹을 지정합니다. 사용자 계정 또는 그룹의 보안 컨텍스트는 작업의 보안 컨텍스트에 사용됩니다. 이러한 메서드 및 속성에서는 로그온 형식도 정의합니다. 로그온 형식은 TASK_LOGON_TYPE 열거형의 상수 중 하나로 정의됩니다.

TASK_LOGON_PASSWORD 또는 TASK_LOGON_S4U 플래그에 등록된 작업은 지정된 사용자에게 Batch 권한으로 로그온이 설정된 경우에만 시작됩니다. 관리istrators 및 Backup Operators 그룹 사용자는 기본적으로 이 권한을 사용하도록 설정되어 있습니다.

ITaskService::커넥트(스크립팅을 위한 TaskService.커넥트) 메서드를 호출하는 경우 Task Scheduler 서비스에 대한 후속 메서드 호출은 커넥트 메서드에 전달된 자격 증명을 사용합니다. 이는 대화형 로그온 형식으로 작업을 등록할 때 고려해야 할 사항입니다. 로그온 유형이 TASK_LOGON_INTERACTIVE_TOKEN 동일한 작업을 등록하고 태스크 정의의 보안 주체 속성에 지정된 자격 증명이 없는 경우, RegisterTaskDefinition에 대한 매개 변수에 지정되거나 RegisterTask에 전달되는 XML에 지정된 자격 증명이 없는 경우 작업은 커넥트 메서드를 호출한 사용자의 자격 증명으로 등록됩니다.

작업에 대한 UAC(사용자 계정 컨트롤) 보안

UAC(사용자 계정 컨트롤 )를 사용하면 사용자가 관리 권한을 노출하지 않고 프로그램 실행 및 데이터 저장 및 수정과 같은 일반적인 기능을 실행할 수 있습니다. 기본적으로 작업은 UAC가 켜져 있을 때 낮은 수준의 권한으로 실행됩니다. 태스크는 IPrincipal의 RunLevel 속성에 대한 TASK_RUNLEVEL_TYPE 열거형에서 권한 수준을 설정하여 상승된 권한 또는 낮은 권한으로 실행되도록 지정할 수 있습니다(스크립팅의 경우 Principal.RunLevel). RunLevel 속성의 값은 작업의 작업이 실행될 권한 수준을 결정합니다. 작업의 작업을 실행하려면 상승된 권한이 있어야 하는 경우 RunLevel 속성을 TASK_RUNLEVEL_HIGHEST 설정해야 합니다. 태스크의 보안 컨텍스트에 대한 관리istrators 그룹을 사용하여 작업이 등록된 경우 작업을 실행하려면 RunLevel 속성도 TASK_RUNLEVEL_HIGHEST 설정해야 합니다. Builtin\관리istrator 계정 또는 로컬 시스템 또는 로컬 서비스 계정을 사용하여 작업을 등록하면 RunLevel 속성이 무시됩니다. UAC(사용자 계정 컨트롤)가 해제된 경우에도 속성 값이 무시됩니다. RunLevel 속성의 값은 작업을 실행하거나 삭제하는 데 필요한 권한에 영향을 주지 않습니다.

참고 항목

운영 체제를 Windows XP에서 Windows Vista로 업그레이드한 후 Windows XP의 Builtin\관리istrator 계정을 사용하여 등록된 작업에는 RunLevel 속성이 TASK_RUNLEVEL_LUA 설정됩니다. 이로 인해 일부 작업이 실패할 수 있습니다. 이 속성을 수동으로 업데이트하여 모든 작업이 실행되도록 할 수 있습니다.

 

낮은 권한 프로세스에서는 TASK_RUNLEVEL_HIGHEST 동일한 RunLevel 속성으로 작업을 등록할 수 없지만 TASK_RUNLEVEL_LUA RunLevel 속성으로 작업을 등록할 수 있습니다. 작업 작업은 낮은 권한으로 실행됩니다. 작업을 Builtin/관리istrator, Local System 또는 그룹에 등록할 수 없습니다.

관리자 권한 프로세스에서 runLevel 속성이 TASK_RUNLEVEL_HIGHEST 또는 TASK_RUNLEVEL_LUA 동일한 작업을 등록할 수 있습니다. 이 작업은 관리istrator 계정을 사용하지 않는 한 RunLevel 속성에 의해 결정된 권한 수준으로 실행됩니다. 이 경우 작업은 상승된 권한으로 실행됩니다.

관리자 권한 프로세스에서 작업 스케줄러 1.0 작업을 등록할 수 있습니다. 작업 스케줄러 서비스는 작업의 실행 수준을 TASK_RUNLEVEL_HIGHEST 설정하며 작업은 상승된 권한으로 실행됩니다.

낮은 권한 프로세스에서 작업 스케줄러 1.0 작업을 등록할 수도 있습니다. 작업 스케줄러 서비스는 작업의 실행 수준을 TASK_RUNLEVEL_LUA 설정하며 작업은 낮은 권한으로 실행됩니다. 이 작업이 관리자 권한 프로세스에서 업데이트되면 작업의 실행 수준이 다시 기본 TASK_RUNLEVEL_LUA.

작업 등록 보안

관리istrators 그룹의 구성원인 계정에서 작업을 등록하는 경우 다음과 같은 상황에서 작업을 등록하는 동안에만 암호를 지정하면 됩니다.

  • 계정 또는 다른 사용자 계정의 보안 컨텍스트에서 실행할 작업을 등록하고 RegisterTask 또는 RegisterTaskDefinition 메서드에서 TASK_LOGON_PASSWORD 플래그를 사용하는 경우
  • 다른 사용자 계정의 보안 컨텍스트에서 실행할 작업을 등록하고 RegisterTask 또는 RegisterTaskDefinition 메서드에서 TASK_LOGON_S4U 플래그를 사용하는 경우

RegisterTask 또는 RegisterTaskDefinition 메서드에서 TASK_LOGON_S4U 플래그 또는 TASK_LOGON_PASSWORD 플래그를 사용하여 작업을 등록할 때는 사용자 그룹을 작업의 보안 컨텍스트로 사용할 수 없습니다.

관리istrators 그룹의 구성원이 아닌 사용자 계정에서 작업을 등록하는 경우 계정의 보안 컨텍스트에서 실행할 작업을 등록하고 S4U 또는 대화형 로그온 유형을 사용하는 경우 작업을 등록할 때 암호를 지정할 필요가 없습니다. 그렇지 않으면 작업을 등록할 때 암호를 지정해야 합니다. 또한 로컬 서비스 계정을 사용하거나 작업의 보안 컨텍스트에 대한 그룹을 사용하여 작업을 등록할 수 없습니다.

읽기, 업데이트, 삭제 및 실행 작업에 대한 보안

기본적으로 작업을 만드는 사용자는 작업을 읽고, 업데이트하고, 삭제하고, 실행할 수 있습니다. 작업을 업데이트하려면 작업 파일에 대한 파일 쓰기 권한, 작업을 읽는 작업 파일에 대한 파일 읽기 권한, 작업을 삭제하기 위한 작업 파일에 대한 권한 삭제, IRegisteredTask::Run 또는 RunEx 메서드를 사용하여 작업을 실행하기 위한 태스크에 대한 파일 실행 권한(스크립팅을 위한 RegisteredTask.Run RunEx)이 있어야 합니다. 관리istrators 그룹 또는 SYSTEM 계정의 구성원은 모든 작업을 읽고, 업데이트하고, 삭제하고, 실행할 수 있습니다. 사용자 그룹, LocalService 계정 및 NetworkService 계정의 구성원은 자신이 만든 작업을 읽고, 업데이트하고, 삭제하고, 실행할 수 있습니다. 이 기본 동작은 작업 파일의 DACL이 변경될 때 변경되며, 이 경우 DACL은 파일 쓰기, 읽기, 실행 및 삭제 권한이 있는 사용자를 정의합니다. 작업 파일에 대한 권한을 설정하려면 IRegisteredTask.SetSecurityDescriptor 메서드(스크립팅에 RegisteredTask.SetSecurityDescriptor)를 사용하거나 RegisterTask 또는 RegisterTaskDefinition 메서드를 사용하여 작업을 등록할 때 보안 설명자를 설정합니다.

작업 업데이트에서 작업에 대한 DACL을 변경해야 하는 경우 작업을 업데이트하려면 읽기/쓰기 권한 외에 WriteDAC 권한이 있어야 합니다.

작업 등록 정보

작업 스케줄러 정보

작업 보안 강화

TaskFolder.RegisterTaskDefinition

ITaskFolder::RegisterTaskDefinition

ITaskDefinition의 Principal 속성

TASK_LOGON_TYPE