Udostępnij za pośrednictwem

Zabezpieczenia, tokeny i konta administratora usługi BITS

  • Artykuł

Wywołania zwrotne certyfikatu serwera HTTP

Prawidłowe weryfikowanie certyfikatów serwera jest kluczowym elementem utrzymania zabezpieczeń PROTOKOŁU HTTPS. Usługa BITS pomaga przez zawsze weryfikowanie certyfikatów serwera pod kątem listy wymagań określonych przez SetSecurityFlags. Domyślnie usługa BITS używa weryfikacji certyfikatu stylu przeglądarki.

Można również określić funkcję niestandardową do wywołania w celu dalszej weryfikacji certyfikatu. Ustaw wywołanie zwrotne certyfikatu serwera za pomocą metodySetServerCertificateValidationInterface. Metoda zostanie wywołana tylko po zweryfikowaniu certyfikatu przez system operacyjny na podstawie wywołania SetSecurityFlags.

Certyfikaty klienta HTTP

Certyfikat klienta można ustawić w zadaniu HTTP z dwiema różnymi metodami ustawień certyfikatu. Certyfikat można ustawić za pomocą identyfikatora lub nazwy podmiotu certyfikatu. Certyfikat klienta będzie używany podczas negocjacji protokołu TLS (lub renegocjacji), jeśli serwer wymaga uwierzytelniania klienta.

Nagłówki HTTP tylko do zapisu

Usługa BITS pomaga chronić tokeny uwierzytelniania HTTP przed niepożądanym dostępem. Często serwer HTTP wymaga pewnego rodzaju tokenu zabezpieczającego lub ciągu podczas pobierania lub przekazywania pliku na serwery HTTP.

Usługa BITS chroni te tokeny uwierzytelniania na kilka sposobów.

  • Usługa BITS umożliwia korzystanie z połączeń HTTP chronionych protokołem TLS i SSL przez określenie adresu URL PROTOKOŁU HTTPS.
  • Nagłówki niestandardowe są zawsze utrwalane w formacie zaszyfrowanym na dysku.
  • Możesz uniemożliwić powrót nagłówków klienta do innych programów za pomocą metody IBackgroundCopyJobHttpOptions3::MakeCustomHeadersWriteOnly.

Użytkownicy standardowi i administratorowi

Użytkownik, który znajduje się w grupie administratorów, może uruchomić proces z dostępem użytkownika standardowego lub w stanie podwyższonym uprawnień (z uprawnieniami administratora). Usługa BITS uruchomi zadanie w obu stanach, o ile użytkownik jest zalogowany na komputerze. Jeśli jednak użytkownik utworzył zadanie lub przejął własność zadania w stanie podwyższonego poziomu uprawnień, użytkownik musi być w stanie podwyższonym uprawnień, aby pobrać lub zmodyfikować zadanie (w przeciwnym razie wywołanie nie powiedzie się z odmowam dostępu (0x80070005)). Aby określić stan podwyższonego poziomu zadania, wywołaj metodę IBackgroundCopyJob4::GetOwnerElevationState.

Użytkownik standardowy nie może wyliczyć ani zmodyfikować zadań należących do innych użytkowników.

Poziom integralności

Oprócz stanu podwyższonego poziomu integralności tokenu może określić, czy użytkownik może zmodyfikować zadanie. Klient nie może modyfikować zadań utworzonych przez token o wyższym poziomie integralności. W szczególności wiele tokenów systemu lokalnego ma wyższy poziom integralności niż poziom integralności okna z podwyższonym poziomem uprawnień i dlatego nie można ich modyfikować przez administratora z zwykłego okna z podwyższonym poziomem uprawnień. Na przykład zadania usługi Windows Update i SMS są uruchamiane jako LocalSystem, który ma wyższy poziom integralności niż token z podwyższonym poziomem uprawnień, dzięki czemu administrator nie może modyfikować ani usuwać tych zadań. Aby zmodyfikować to zadanie, utwórz zadanie harmonogramu zadań, które jest uruchamiane jako system lokalny. Zadanie może wykonać aplikację konsolową korzystającą z interfejsu API usługi BITS lub wykonać skrypt, który wywołuje BitsAdmin.exe. Aby określić używany poziom integralności, wywołaj metodę IBackgroundCopyJob4::GetOwnerIntegrityLevel.

Tożsamość usługi

Począwszy od aktualizacji systemu Windows 10 maja 2019 r. (10.0; Kompilacja 18362), zadania usługi BITS uruchomione z poziomu usługi będą obsługiwać tożsamość usługi. Umożliwia to usługom, które chcą używać usługi BITS do pobierania plików do katalogu lub przekazywania plików z katalogu, którego uprawnienia są powiązane z identyfikatorem SID usługi. Ponadto ruch sieciowy będzie poprawnie przypisywany usłudze, która zażądała zadania usługi BITS zamiast przypisywana do usługi BITS.