サービス・タスク系のアカウント問題
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>サービス・タスク系のいろいろ]]
* 目次 [#v30eb84e]
#contents
*概要 [#l0270871]
Windowsサービス全般の実行アカウント問題を中心としたトラブ...
-通常、Windowsサービスの実行アカウントとして~
[[サービスで使用されるビルトイン システム アカウント>ビル...
--IISでは、「Network Service」を使用します。
--タスク スケジューラでは、「System」(LocalSystem)を使...
-このため、Windowsサービスやタスク スケジューラからの実行...
普段意識していないOSやAPIの認証機構の存在を意識する必要が...
*実行アカウントの確認方法 [#fa199add]
以下を参照下さい。
-@IT:.NET TIPS ユーザーのセキュリティ権限を確認するには...
http://www.atmarkit.co.jp/fdotnet/dotnettips/346rolebases...
*実行アカウントの指定方法 [#qfb184c7]
**runasコマンド実行アカウントを指定する(アンマッチ) [#k...
***一般的なアカウント [#ed143222]
runasコマンドで一時的にほかのユーザー権限でプログラムを実...
コマンドからパスワードは与えられず、ユーザに入力を求める...
非対話型のセッションから実行されるWindowsサービスやタスク...
-一時的にほかのユーザー権限でプログラムを~
実行する方法(runasコマンドを利用する方法) - @IT~
http://www.atmarkit.co.jp/fwin2k/win2ktips/758runascmd/ru...
***ビルトイン システム アカウント [#m8e1abe9]
-runasコマンドには[[サービスで使用されるビルトイン システ...
-既定で、[[サービスで使用されるビルトイン システム アカウ...
**Windowsサービスの実行アカウントを指定する [#nafecdec]
***IISやSQL Serverなど [#i6f10ade]
IIS(のワーカ・プロセス)やSQL Serverなど、~
専用の設定画面を持ち、ここから設定が可能です。
-IIS
--IIS7.5(のワーカ・プロセス)からは、アプリケーションプ...
既定で「[[Network Service>ビルトイン システム アカウント]...
--IIS 7 のアクセス許可~
http://awoni.net/tips/iis_acl/
|BGCOLOR(#cccccc):||||c
||Windows Server 2003|Windows Vista&br;Windows Server 200...
|既定の匿名ユーザーID|IUSR_<マシン名>|IUSR|IUSR|
|既定のワーカープロセスID|NETWORK SERVICE|NETWORK SERVICE...
|ワーカープロセスグループ|IIS_WPG|IIS_IUSRS|IIS_IUSRS|
--アプリケーション プール IDの権限設定をする場合、~
IIS_AppPool\ApplicationPoolNameユーザか、IIS_IUSRSグルー...
>IIS 7 以降でのアプリケーションプールと権限について調べた...
http://blog.shibayan.jp/entry/20150127/1422369253
-SQL Server
--SQL Server インストールのセキュリティに関する注意点~
http://msdn.microsoft.com/ja-jp/library/ms144228.aspx
--サーバーの構成 - サービス アカウント~
http://msdn.microsoft.com/ja-jp/library/cc281953.aspx
--SQL Server のサービス開始アカウントの変更 (SQL Server ...
http://msdn.microsoft.com/ja-jp/library/ms345578.aspx
***ASP.NET(偽装) [#vaded437]
ASP.NETでは、偽装を使用する事によって、~
実行アカウントを指定することもできます。
>ASP.NET アプリケーションに偽装を実装する方法~
http://support.microsoft.com/kb/306158/ja
偽装には、
-[[サーバ信頼セキュリティ モデル]]
>特定のアカウントに偽装する。
-[[ベース クライアント セキュリティ モデル]]
>Windowsサービスにアクセスしてきたユーザの認証アカウント...
があります。
匿名アカウントを実行アカウントにする場合は偽装が必要にな...
通常は、IIS(のワーカ・プロセス)の実行アカウントで実行さ...
-@IT:連載:プログラミングASP.NET 第17回 ASP.NETにおけ...
http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet17/aspnet1...
***APIを使用した偽装 [#jf5ddc79]
ASP.NETのように、偽装の機能が実装されているWindowsサービ...
Win32APIを使用して偽装することもできます(区間的、部分的...
-参考
--ASP.NET アプリケーションに偽装を実装する方法~
http://support.microsoft.com/kb/306158/ja
--コード内で認証中のユーザーを偽装する
--コード内で特定のユーザーを偽装する
--[[Open棟梁のIdentityImpersonation.ImpersonateValidUser...
---[[区間偽装のサンプル - Open 棟梁 Wiki>http://opentoury...
**タスク スケジューラの実行アカウントを指定する [#s12d2472]
以下のKBにあるように、タスク スケジューラは実行アカウント...
-ユーザー アカウントにパスワードがないとタスク スケジュー...
http://support.microsoft.com/kb/299854/ja
コマンドからは以下の様に設定します。
-TechNet
--Command-line Reference > A-Z List
---Atコマンド~
http://technet.microsoft.com/ja-jp/library/cc772590.aspx
---Schtasksコマンド~
http://technet.microsoft.com/ja-jp/library/cc725744.aspx
--タスクのセキュリティ コンテキスト~
http://technet.microsoft.com/ja-jp/library/cc722152.aspx
*ネットワークの問題 [#oa6e5c5f]
**ネットワーク間認証 [#faa96fc2]
-[[サービスで使用されるビルトイン システム アカウント>ビ...
-[[サービスで使用されるビルトイン システム アカウント>ビ...
-このため、一般的に匿名アクセスを許可する以外、ネットワー...
--[[ミラーアカウント>#n5e7f04e]]
--[[ドメイン アカウント>#i41d6d52]]
--[[net use(WNetAddConnection)>#f712aad2]]
>の何れかを使用する必要があります。
***[[ミラーアカウント]] [#n5e7f04e]
WORKGROUP環境で利用。
***[[ドメイン アカウント]] [#i41d6d52]
Active Directory環境で利用。
-コンピュータ・アカウント~
AD環境下の場合、[[サービスで使用されるビルトイン システム...
[[コンピュータ・アカウント>ドメイン アカウント#fdd7575b]]...
-仮想アカウント~
AD環境下の場合、[[仮想アカウント]]は自動的に管理され、~
ドメイン環境でネットワークにアクセスすることができる。
***net use(WNetAddConnection) [#f712aad2]
-[[net use(WNetAddConnection)>サービス・タスク系のいろい...
WORKGROUP環境・Active Directory環境でも利用可能。
**リモート・コマンドの問題 [#g35786fe]
-RSH(rshsvcサービス)や
-PowerShell(WinRMサービス)で
リモート・コマンドを実行する場合、~
リモートでコマンドを実行する際の~
実行アカウントを考慮する必要があります。
***RSH [#j2c36322]
rshsvc.exeは、渡されたシェルを実行しますが、シェルの実行...
[[サービスで使用されるビルトイン システム アカウント>ビル...
***WinRM [#od280807]
WinRMサービスは、渡されたPowerShellを実行しますが、PowerS...
[[サービスで使用されるビルトイン システム アカウント>ビル...
しかし、WinRMサービスは実行時にCredentialを渡す事で実行ア...
また、色々設定を行う事によってWinRMでは[[ダブルホップ>#r0...
***PsExec [#a18ceed3]
RSH(rshsvcサービス)など、上記の実行アカウントで~
実行できないコマンドをリモート実行したい場合、PsExecが利...
-リモート・コンピュータ上でプログラムを実行する(PsExec編...
http://www.atmarkit.co.jp/fwin2k/win2ktips/1416psexec/pse...
--ローカル・アカウントと同じ資格情報得で偽装しリモート・...
ただし、この偽装アカウントは[[ダブルホップ>#r02409ee]]問...
リモート・タスク上のネットワーク・アクセス時の認証等に失...
--リモートで実行するときのアカウントを指定できる。
--Systemアカウントでプログラムを実行するよう指定できる。
***ダブルホップ [#r02409ee]
ローカルの実行アカウントを引き継いでリモートアクセスする...
「ダブルホップ」については「[[ベース クライアント セキュ...
*その他の問題 [#zf5dda66]
**コンピューター スタートアップ スクリプトの実行アカウン...
スタートアップ スクリプトは Local System アカウントとして...
-コンピューター スタートアップ スクリプトを割り当てる~
https://technet.microsoft.com/ja-jp/library/cc770556.aspx
**Windowsサービスの偽装スレッドからEXE起動をした場合 [#ub...
また、ASP.NETなどの偽装スレッドからEXE起動をした場合、~
EXEが偽装スレッドの実行アカウントで実行されない問題があり...
***Win32 API [#r5468029]
-Microsoft ASP.NET で偽装ユーザーの~
コンテキストで実行されるプロセスを生成する方法。~
http://support.microsoft.com/kb/889251/ja
>偽装ユーザーのコンテキストで実行されるプロセスを起動する...
System.Diagnostics.Process.Startメソッドを使用できません。
-偽装スレッドの実行アカウントでEXEを起動する場合は、~
DuplicateTokenEx→CreateProcessAsUser関数を使用し、~
独自に、ユーザ権限を割り当てる必要があるようです。
***注意点 [#j47c2029]
以下の点に注意が必要のようです。
-ASP.NET偽装や、ImpersonateValidUserの偽装レベルは~
SecurityImpersonationなので、これに合わせる必要がある。
-独自偽装の、偽装レベルは、どちらでも良いが、双方を合わせ...
--SecurityImpersonation
--SecurityDelegation
-実行アカウントには、以下の設定が必要になる。
--「プロセス レベル トークンの置き換え」セキュリティ・ポ...
このセキュリティ設定は、あるWindowsサービスから別のWindow...
CreateProcessAsUser() Win32APIを呼び出せるユーザ アカウン...
このユーザー権利を使用するプロセスの 1 つがタスク スケジ...
---既定値:Network Service、Local System
-参考情報
--CreateProcessAsUser すなのかたまり~
http://msmania.wordpress.com/tag/createprocessasuser/
---[Win32] [C++] LogonUser と CreateProcessAsUser すなの...
http://msmania.wordpress.com/2011/02/06/win32-c-logonuser...
---[Win32] [C++] CreateProcessAsUser #1 特権編 すなのか...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #2 トークン編 すな...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #3 ソース すなのか...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #4 セキュリティ記述...
http://msmania.wordpress.com/2012/01/01/win32-c-createpro...
--[[Open棟梁のIdentityImpersonation.CreateProcessAsImpers...
*事例 [#x6f2977d]
**[[svnコマンド>初回が遅い!#tfc1f81b]] [#tccf0a79]
**... [#o92319f1]
----
Tags: [[:あるある]], [[:Windows]], [[:アカウント]], [[:セ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>サービス・タスク系のいろいろ]]
* 目次 [#v30eb84e]
#contents
*概要 [#l0270871]
Windowsサービス全般の実行アカウント問題を中心としたトラブ...
-通常、Windowsサービスの実行アカウントとして~
[[サービスで使用されるビルトイン システム アカウント>ビル...
--IISでは、「Network Service」を使用します。
--タスク スケジューラでは、「System」(LocalSystem)を使...
-このため、Windowsサービスやタスク スケジューラからの実行...
普段意識していないOSやAPIの認証機構の存在を意識する必要が...
*実行アカウントの確認方法 [#fa199add]
以下を参照下さい。
-@IT:.NET TIPS ユーザーのセキュリティ権限を確認するには...
http://www.atmarkit.co.jp/fdotnet/dotnettips/346rolebases...
*実行アカウントの指定方法 [#qfb184c7]
**runasコマンド実行アカウントを指定する(アンマッチ) [#k...
***一般的なアカウント [#ed143222]
runasコマンドで一時的にほかのユーザー権限でプログラムを実...
コマンドからパスワードは与えられず、ユーザに入力を求める...
非対話型のセッションから実行されるWindowsサービスやタスク...
-一時的にほかのユーザー権限でプログラムを~
実行する方法(runasコマンドを利用する方法) - @IT~
http://www.atmarkit.co.jp/fwin2k/win2ktips/758runascmd/ru...
***ビルトイン システム アカウント [#m8e1abe9]
-runasコマンドには[[サービスで使用されるビルトイン システ...
-既定で、[[サービスで使用されるビルトイン システム アカウ...
**Windowsサービスの実行アカウントを指定する [#nafecdec]
***IISやSQL Serverなど [#i6f10ade]
IIS(のワーカ・プロセス)やSQL Serverなど、~
専用の設定画面を持ち、ここから設定が可能です。
-IIS
--IIS7.5(のワーカ・プロセス)からは、アプリケーションプ...
既定で「[[Network Service>ビルトイン システム アカウント]...
--IIS 7 のアクセス許可~
http://awoni.net/tips/iis_acl/
|BGCOLOR(#cccccc):||||c
||Windows Server 2003|Windows Vista&br;Windows Server 200...
|既定の匿名ユーザーID|IUSR_<マシン名>|IUSR|IUSR|
|既定のワーカープロセスID|NETWORK SERVICE|NETWORK SERVICE...
|ワーカープロセスグループ|IIS_WPG|IIS_IUSRS|IIS_IUSRS|
--アプリケーション プール IDの権限設定をする場合、~
IIS_AppPool\ApplicationPoolNameユーザか、IIS_IUSRSグルー...
>IIS 7 以降でのアプリケーションプールと権限について調べた...
http://blog.shibayan.jp/entry/20150127/1422369253
-SQL Server
--SQL Server インストールのセキュリティに関する注意点~
http://msdn.microsoft.com/ja-jp/library/ms144228.aspx
--サーバーの構成 - サービス アカウント~
http://msdn.microsoft.com/ja-jp/library/cc281953.aspx
--SQL Server のサービス開始アカウントの変更 (SQL Server ...
http://msdn.microsoft.com/ja-jp/library/ms345578.aspx
***ASP.NET(偽装) [#vaded437]
ASP.NETでは、偽装を使用する事によって、~
実行アカウントを指定することもできます。
>ASP.NET アプリケーションに偽装を実装する方法~
http://support.microsoft.com/kb/306158/ja
偽装には、
-[[サーバ信頼セキュリティ モデル]]
>特定のアカウントに偽装する。
-[[ベース クライアント セキュリティ モデル]]
>Windowsサービスにアクセスしてきたユーザの認証アカウント...
があります。
匿名アカウントを実行アカウントにする場合は偽装が必要にな...
通常は、IIS(のワーカ・プロセス)の実行アカウントで実行さ...
-@IT:連載:プログラミングASP.NET 第17回 ASP.NETにおけ...
http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet17/aspnet1...
***APIを使用した偽装 [#jf5ddc79]
ASP.NETのように、偽装の機能が実装されているWindowsサービ...
Win32APIを使用して偽装することもできます(区間的、部分的...
-参考
--ASP.NET アプリケーションに偽装を実装する方法~
http://support.microsoft.com/kb/306158/ja
--コード内で認証中のユーザーを偽装する
--コード内で特定のユーザーを偽装する
--[[Open棟梁のIdentityImpersonation.ImpersonateValidUser...
---[[区間偽装のサンプル - Open 棟梁 Wiki>http://opentoury...
**タスク スケジューラの実行アカウントを指定する [#s12d2472]
以下のKBにあるように、タスク スケジューラは実行アカウント...
-ユーザー アカウントにパスワードがないとタスク スケジュー...
http://support.microsoft.com/kb/299854/ja
コマンドからは以下の様に設定します。
-TechNet
--Command-line Reference > A-Z List
---Atコマンド~
http://technet.microsoft.com/ja-jp/library/cc772590.aspx
---Schtasksコマンド~
http://technet.microsoft.com/ja-jp/library/cc725744.aspx
--タスクのセキュリティ コンテキスト~
http://technet.microsoft.com/ja-jp/library/cc722152.aspx
*ネットワークの問題 [#oa6e5c5f]
**ネットワーク間認証 [#faa96fc2]
-[[サービスで使用されるビルトイン システム アカウント>ビ...
-[[サービスで使用されるビルトイン システム アカウント>ビ...
-このため、一般的に匿名アクセスを許可する以外、ネットワー...
--[[ミラーアカウント>#n5e7f04e]]
--[[ドメイン アカウント>#i41d6d52]]
--[[net use(WNetAddConnection)>#f712aad2]]
>の何れかを使用する必要があります。
***[[ミラーアカウント]] [#n5e7f04e]
WORKGROUP環境で利用。
***[[ドメイン アカウント]] [#i41d6d52]
Active Directory環境で利用。
-コンピュータ・アカウント~
AD環境下の場合、[[サービスで使用されるビルトイン システム...
[[コンピュータ・アカウント>ドメイン アカウント#fdd7575b]]...
-仮想アカウント~
AD環境下の場合、[[仮想アカウント]]は自動的に管理され、~
ドメイン環境でネットワークにアクセスすることができる。
***net use(WNetAddConnection) [#f712aad2]
-[[net use(WNetAddConnection)>サービス・タスク系のいろい...
WORKGROUP環境・Active Directory環境でも利用可能。
**リモート・コマンドの問題 [#g35786fe]
-RSH(rshsvcサービス)や
-PowerShell(WinRMサービス)で
リモート・コマンドを実行する場合、~
リモートでコマンドを実行する際の~
実行アカウントを考慮する必要があります。
***RSH [#j2c36322]
rshsvc.exeは、渡されたシェルを実行しますが、シェルの実行...
[[サービスで使用されるビルトイン システム アカウント>ビル...
***WinRM [#od280807]
WinRMサービスは、渡されたPowerShellを実行しますが、PowerS...
[[サービスで使用されるビルトイン システム アカウント>ビル...
しかし、WinRMサービスは実行時にCredentialを渡す事で実行ア...
また、色々設定を行う事によってWinRMでは[[ダブルホップ>#r0...
***PsExec [#a18ceed3]
RSH(rshsvcサービス)など、上記の実行アカウントで~
実行できないコマンドをリモート実行したい場合、PsExecが利...
-リモート・コンピュータ上でプログラムを実行する(PsExec編...
http://www.atmarkit.co.jp/fwin2k/win2ktips/1416psexec/pse...
--ローカル・アカウントと同じ資格情報得で偽装しリモート・...
ただし、この偽装アカウントは[[ダブルホップ>#r02409ee]]問...
リモート・タスク上のネットワーク・アクセス時の認証等に失...
--リモートで実行するときのアカウントを指定できる。
--Systemアカウントでプログラムを実行するよう指定できる。
***ダブルホップ [#r02409ee]
ローカルの実行アカウントを引き継いでリモートアクセスする...
「ダブルホップ」については「[[ベース クライアント セキュ...
*その他の問題 [#zf5dda66]
**コンピューター スタートアップ スクリプトの実行アカウン...
スタートアップ スクリプトは Local System アカウントとして...
-コンピューター スタートアップ スクリプトを割り当てる~
https://technet.microsoft.com/ja-jp/library/cc770556.aspx
**Windowsサービスの偽装スレッドからEXE起動をした場合 [#ub...
また、ASP.NETなどの偽装スレッドからEXE起動をした場合、~
EXEが偽装スレッドの実行アカウントで実行されない問題があり...
***Win32 API [#r5468029]
-Microsoft ASP.NET で偽装ユーザーの~
コンテキストで実行されるプロセスを生成する方法。~
http://support.microsoft.com/kb/889251/ja
>偽装ユーザーのコンテキストで実行されるプロセスを起動する...
System.Diagnostics.Process.Startメソッドを使用できません。
-偽装スレッドの実行アカウントでEXEを起動する場合は、~
DuplicateTokenEx→CreateProcessAsUser関数を使用し、~
独自に、ユーザ権限を割り当てる必要があるようです。
***注意点 [#j47c2029]
以下の点に注意が必要のようです。
-ASP.NET偽装や、ImpersonateValidUserの偽装レベルは~
SecurityImpersonationなので、これに合わせる必要がある。
-独自偽装の、偽装レベルは、どちらでも良いが、双方を合わせ...
--SecurityImpersonation
--SecurityDelegation
-実行アカウントには、以下の設定が必要になる。
--「プロセス レベル トークンの置き換え」セキュリティ・ポ...
このセキュリティ設定は、あるWindowsサービスから別のWindow...
CreateProcessAsUser() Win32APIを呼び出せるユーザ アカウン...
このユーザー権利を使用するプロセスの 1 つがタスク スケジ...
---既定値:Network Service、Local System
-参考情報
--CreateProcessAsUser すなのかたまり~
http://msmania.wordpress.com/tag/createprocessasuser/
---[Win32] [C++] LogonUser と CreateProcessAsUser すなの...
http://msmania.wordpress.com/2011/02/06/win32-c-logonuser...
---[Win32] [C++] CreateProcessAsUser #1 特権編 すなのか...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #2 トークン編 すな...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #3 ソース すなのか...
http://msmania.wordpress.com/2011/12/31/win32-c-createpro...
---[Win32] [C++] CreateProcessAsUser #4 セキュリティ記述...
http://msmania.wordpress.com/2012/01/01/win32-c-createpro...
--[[Open棟梁のIdentityImpersonation.CreateProcessAsImpers...
*事例 [#x6f2977d]
**[[svnコマンド>初回が遅い!#tfc1f81b]] [#tccf0a79]
**... [#o92319f1]
----
Tags: [[:あるある]], [[:Windows]], [[:アカウント]], [[:セ...
ページ名: