Sdílet prostřednictvím

Zabezpečení, tokeny a účty správce SLUŽBY BITS

  • Článek

Zpětná volání certifikátů serveru HTTP

Správné ověřování certifikátů serveru je klíčovou součástí údržby zabezpečení HTTPS. Služba BITS pomáhá vždy ověřovat certifikáty serveru v seznamu požadavků určených SetSecurityFlags. Služba BITS ve výchozím nastavení používá ověření certifikátu stylu "prohlížeč".

Můžete také zadat vlastní funkci, která se má volat, aby bylo možné certifikát dále ověřit. Nastavte zpětné volání certifikátu serveru pomocí metody SetServerCertificateValidationInterface. Vaše metoda bude volána pouze po ověření certifikátu na základě SetSecurityFlagvolání operačního systému.

Klientské certifikáty HTTP

Klientský certifikát v úloze HTTP můžete nastavit dvěma různými metodami nastavení certifikátu. Certifikát můžete nastavit buď podle id , nebo podle názvu subjektu . Klientský certifikát se použije při vyjednávání protokolu TLS (nebo při opětovném vyjednávání), pokud server vyžaduje ověření klienta.

Hlavičky HTTP jen pro zápis

BitS pomáhá chránit ověřovací tokeny HTTP před nežádoucím přístupem. Server HTTP často při stahování nebo nahrávání souboru na servery HTTP bude potřebovat nějaký druh tokenu zabezpečení nebo řetězce.

Služba BITS chrání tyto ověřovací tokeny několika způsoby.

  • Služba BITS umožňuje používat připojení HTTP chráněná protokolem TLS a SSL zadáním adresy URL PROTOKOLU HTTPS.
  • Vlastní hlavičky se vždy uchovávají v šifrované podobě na disku.
  • Pomocí metody IBackgroundCopyJobHttpOptions3::MakeCustomHeadersWriteOn ly můžete zabránit vrácení hlaviček zákazníků do jiných programů.

Standardní uživatelé a uživatelé správce

Uživatel, který je ve skupině správců, může spustit proces se standardním uživatelským přístupem nebo se zvýšenými oprávněními (s oprávněními správce). Služba BITS spustí úlohu v obou stavech, pokud je uživatel přihlášený k počítači. Pokud však uživatel vytvořil úlohu nebo převzal vlastnictví úlohy ve zvýšeném stavu, musí být uživatel ve stavu se zvýšenými oprávněními, aby načetl nebo upravil úlohu (jinak volání selže s odepřeným přístupem (0x80070005)). Chcete-li určit stav zvýšené úrovně úlohy, zavolejte IBackgroundCopyJob4::GetOwnerElevationState metoda.

Standardní uživatel nemůže vytvořit výčet nebo upravit úlohy vlastněné jinými uživateli.

Úroveň integrity

Kromě stavu se zvýšenými oprávněními může úroveň integrity tokenu určit, jestli uživatel může upravit úlohu. Klient nemůže upravovat úlohy vytvořené tokenem s vyšší úrovní integrity. Konkrétně mnoho tokenů místního systému má vyšší úroveň integrity než úroveň integrity okna se zvýšenými oprávněními, a proto je správce nemůže změnit z běžného příkazového okna se zvýšenými oprávněními. Například úlohy služby Windows Update a SMS běží jako LocalSystem, které mají vyšší úroveň integrity než zvýšený token, aby správce nemohl tyto úlohy upravovat nebo odstraňovat. Pokud chcete tyto úlohy upravit, vytvořte úlohu plánovače úloh, která se spouští jako místní systém. Úloha může spustit konzolovou aplikaci, která používá rozhraní API služby BITS, nebo úloha může spustit skript, který volá BitsAdmin.exe. Chcete-li určit použitou úroveň integrity, zavolejte metodu IBackgroundCopyJob4::GetOwnerIntegrityLevel.

Identita služby

Počínaje aktualizací Windows 10 z května 2019 (10.0; Build 18362), úlohy SLUŽBY BITS spuštěné ze služby budou udržovat identitu služby. To umožňuje službám, které chtějí službu BITS používat ke stahování souborů do nebo nahrávání souborů z adresáře, jehož oprávnění jsou svázaná se identifikátorem SID služby. Kromě toho bude síťový provoz správně přiřazovat službě, která požadovala úlohu BITS místo toho, aby byla přiřazena službě BITS.