Megosztás a következőn keresztül:

BITS-biztonság, jogkivonatok és rendszergazdai fiókok

  • Cikk

HTTP-kiszolgáló tanúsítványvisszahívásai

A kiszolgálótanúsítványok helyes érvényesítése kulcsfontosságú része a HTTPS-biztonság fenntartásának. A BITS segítségével mindig érvényesítheti a kiszolgálótanúsítványokat a SetSecurityFlagsáltal meghatározott követelmények listáján. A BITS alapértelmezés szerint "böngésző" stílusú tanúsítványérvényesítést használ.

A tanúsítvány további ellenőrzéséhez megadhat egy egyéni függvényt is, amelyet meghívhat. Állítsa be a kiszolgálótanúsítvány visszahívását a SetServerCertificateValidationInterface metódussal. A metódus csak akkor lesz meghívva, ha az operációs rendszer a SetSecurityFlag hívása alapján érvényesítette a tanúsítványt.

HTTP-ügyféltanúsítványok

Az ügyféltanúsítványt egy HTTP-feladatban két különböző tanúsítványbeállítási módszerrel állíthatja be. A tanúsítványt azonosító vagy a tanúsítvány tulajdonosnévalapján állíthatja be. Az ügyféltanúsítvány a TLS-egyeztetés (vagy újratárgyalás) során lesz használva, ha a kiszolgáló ügyfél-hitelesítést igényel.

Írásvédett HTTP-fejlécek

A BITS segít megvédeni a HTTP-hitelesítési jogkivonatokat a nemkívánatos hozzáféréstől. A HTTP-kiszolgálóknak gyakran szükségük lesz valamilyen biztonsági jogkivonatra vagy sztringre, amikor letöltenek vagy feltöltenek egy fájlt a HTTP-kiszolgálókra.

A BITS többféleképpen védi ezeket a hitelesítési jogkivonatokat.

  • A BITS lehetővé teszi tLS- és SSL-védelem alatt álló HTTP-kapcsolatok használatát EGY HTTPS URL-cím megadásával.
  • Az egyéni fejlécek mindig titkosított formátumban vannak megőrzve a lemezen.
  • Megakadályozhatja, hogy az ügyfélfejlécek visszakerüljenek más programokba az IBackgroundCopyJobHttpOptions3::MakeCustomHeadersWriteOnly metódussal.

Standard és rendszergazdai felhasználók

A rendszergazdai csoportban lévő felhasználók normál felhasználói hozzáféréssel vagy emelt szintű (rendszergazdai jogosultságokkal rendelkező) állapotban futtathatnak folyamatokat. A BITS mindkét állapotban futtatja a feladatot, amíg a felhasználó bejelentkezik a számítógépre. Ha azonban a felhasználó létrehozta a feladatot, vagy rendszergazda jogú állapotban vette át a feladat tulajdonjogát, a felhasználónak emelt szintű állapotban kell lennie a feladat lekéréséhez vagy módosításához (ellenkező esetben a hívás a Hozzáférés megtagadva (0x80070005) állapotban meghiúsul. A feladatok emelt szintű állapotának meghatározásához hívja meg a IBackgroundCopyJob4::GetOwnerElevationState metódust.

Egy standard felhasználó nem tudja számba vagy módosítani a más felhasználók tulajdonában lévő feladatokat.

Integritási szint

Az emelt szintű állapot mellett a jogkivonat integritási szintje is meghatározhatja, hogy a felhasználó módosíthatja-e a feladatokat. Az ügyfél nem módosíthatja a jogkivonatok által létrehozott feladatokat magasabb integritási szinttel. Számos helyi rendszerjogkivonat egy emelt szintű ablak integritásszintjénél magasabb integritásszintet hordoz, ezért a rendszergazda nem módosíthatja őket egy átlagos emelt szintű parancsablakból. A Windows Update- és SMS-feladatok például LocalSystemként futnak, amely magasabb integritási szinttel rendelkezik, mint egy emelt szintű jogkivonat, így a rendszergazda nem tudja módosítani vagy törölni ezeket a feladatokat. A feladat módosításához hozzon létre egy feladatütemező-feladatot, amely helyi rendszerként fut. A feladat végrehajthat egy, a BITS API-t használó konzolalkalmazást, vagy végrehajthat egy szkriptet, amely meghívja BitsAdmin.exe. A használt integritási szint meghatározásához hívja meg a IBackgroundCopyJob4::GetOwnerIntegrityLevel metódust.

Szolgáltatás identitása

A Windows 10 2019. májusi frissítésétől kezdve (10.0; Az 18362-ben készült buildben a szolgáltatásból indított BITS-feladatok megőrzik a szolgáltatás identitását. Ez lehetővé teszi, hogy a BITS-t használó szolgáltatások fájlokat töltsenek le vagy töltsenek fel egy olyan könyvtárba, amelynek engedélyei a szolgáltatás SID-éhez vannak kötve. Emellett a hálózati forgalom helyesen lesz hozzárendelve ahhoz a szolgáltatáshoz, amely a BITS-feladatot kérte a BITS-feladat attribútuma helyett.