none
Безопасна ли галка "не сохранять пароль" в планировщике заданий RRS feed

  • Вопрос

  • Имеется два сервера: контроллер домена и сервер баз даных. На сервере баз даных выполняются задания по планировщику, которые запускают локальные программы. По некоторым причинам для заданий удобней использовать учетную запись администратора домена. Хотя в рамках задания нужен только локальный доступ. По-этому, в качестве учетной записи для заданий назначается администратор домена с установленной галкой "Не сохранять пароль. Будут доступны ресурсы только локального компьютера". Насколько опасна такая схема в случае заражения сервера баз даных? Сможет ли вирус воспользоваться учетной записью администратора домена для доступа к другим компьютерам в домене?

    К примеру, смущает тот факт, что при создании задания с установленной галкой "Не сохранять пароль", планировщик всё равно спрашивает пароль.

    31 октября 2017 г. 10:34

Ответы

  • MS пишет на этот счёт следующее:

    When the Run whether user is logged on or not option if selected, you may be prompted to supply the credentials of the account when saving the task, regardless of whether you select the checkbox labeled Do not store password or not. If the account is not logged on when the corresponding task is triggered, the service will use the saved credentials to run as the specified account and will have unconstrained use of the resulting token.

    If you select the checkbox labeled Do not store password , Task Scheduler will not store the credentials supplied on the local computer, but will discard them after properly authenticating the user. When required to run the task, the Task Scheduler service will use the “Service-for-User” (S4U) extensions to the Kerberos authentication protocol to retrieve the user’s token.

    Но ИМХО не стал бы ставить эту галку, тем более если УЗ обладает такими правами. Лучше создать отдельную УЗ для Task Scheduler и выдать ей необходимые права (logon as batch job etc)

    31 октября 2017 г. 12:54

Все ответы

  • ИМХО - безопаснее эту птицу поставить, а credential передавать в скрипт например так:

    https://blogs.technet.microsoft.com/robcost/2008/05/01/powershell-tip-storing-and-using-password-credentials/

    31 октября 2017 г. 10:49
  • Та не, я не про это. Вопрос не в том, как безопасно передавать пароль, а в том, хранится ли где-нибудь доменный пароль на локальном компьютере, если при создании задачи я его указываю, при условии, что галка "не сохранять пароль" установлена? Если не хранится, то зачем планировщик его спрашивает?

    Вот только что поигрался с планировщиком, получается что вроде не должен храниться. Создаю задачу с установленной галкой "не сохранять пароль", ввожу пароль доменного админа. После этого иду на контроллер домена и меняю пароль админа. И не смотря на то, что введенный пароль в планировщике уже не актуальный, задание успешно выполняется.

    31 октября 2017 г. 12:36
  • MS пишет на этот счёт следующее:

    When the Run whether user is logged on or not option if selected, you may be prompted to supply the credentials of the account when saving the task, regardless of whether you select the checkbox labeled Do not store password or not. If the account is not logged on when the corresponding task is triggered, the service will use the saved credentials to run as the specified account and will have unconstrained use of the resulting token.

    If you select the checkbox labeled Do not store password , Task Scheduler will not store the credentials supplied on the local computer, but will discard them after properly authenticating the user. When required to run the task, the Task Scheduler service will use the “Service-for-User” (S4U) extensions to the Kerberos authentication protocol to retrieve the user’s token.

    Но ИМХО не стал бы ставить эту галку, тем более если УЗ обладает такими правами. Лучше создать отдельную УЗ для Task Scheduler и выдать ей необходимые права (logon as batch job etc)

    31 октября 2017 г. 12:54