O Agendador de Tarefas do Windows não pode gravar na pasta mesmo quando executado como administrador

Navegue suas respostas
0

Eu faço backup da partição do meu sistema Windows usando o agendamento de backup do Macrium Reflect 6. O software adiciona uma entrada ao Agendador de Tarefas do Windows e o backup geralmente é executado sem problemas. Como o local de backup é uma pasta em um disco rígido sempre montado - F:\Files -, eu corro o risco de corrupção de backup se meu computador for infectado (ou seja, ransomware) antes que eu possa copiar os arquivos para uma unidade externa. Para lidar com isso, aqui está o que eu fiz:

  • Eu uso o PC como uma conta padrão (não administrador)
  • Cliquei com o botão direito do mouse na pasta de backup e fui para Propriedades > > Segurança > > Editar permissões e clicou em " Negar " sob a permissão "Escrever" para usuários pertencentes ao grupo Users .

Minha intenção é impossibilitar que usuários não administradores - e, portanto, a maioria dos malwares - substituam ou corrompam os arquivos de backup. A restrição entrou em vigor como eu esperava: por exemplo, agora preciso inserir uma senha de administrador se eu quiser gravar um arquivo em F:\Files . O problema é que a tarefa de backup agora falha. Na Macrium UI, aqui está o erro que vejo: 

Backup aborted! - None of the specified locations could be written to

Estou surpreso com esse erro porque acho que a tarefa está configurada para ser executada como a conta de administrador. Quando configuro o trabalho de backup no Macrium, fui explicitamente perguntado sobre qual conta de usuário deve ser usada e para inserir a senha desse usuário, então escolhi Admin . Como resultado, eu esperava que o software não tivesse problemas para gravar na pasta de backup, mesmo depois de revogar as permissões de gravação de não administradores. Se eu abrir o Agendador de Tarefas e examinar os detalhes da tarefa, veja o que é mostrado em Opções de segurança:

Comovocêpodever,atarefaéexecutadacomoAdmin.Oautordatarefa(nãomostradonacapturadetela)tambéméAdmin.Aaçãodatarefaé:

C:\...\Reflect.exe-e-w"F:\Files\Schedule.xml" -inc -g {some long token here}

Estou negligenciando algo ou isso é um bug com meu software de backup? O resultado da última execução no Agendador de Tarefas mostra apenas (0x1)

Após investigações posteriores, descobri que, se eu logar como Admin e tentar gravar um arquivo na pasta restrita, não posso. Negar permissão de escrita para o grupo Users também negou a conta Admin . É provavelmente por isso que meu trabalho de backup está falhando. A imagem abaixo mostra as permissões efetivas para Admin depois que eu negar permissões de gravação ao grupo Users .

Tambémdescobrique,emboraascontasbloqueadasnãopudessemsalvarumnovoarquivonapasta,elasaindapoderiamexcluirosarquivosjápresentes.Então,euaindaestavavulnerávelaomalwareexcluindoessesarquivos.Euprecisavadepermissõesmaisrestritivas.Eutambémprecisoencontrarumamaneiradenegarpermsparatodososusuáriosnãoadministradores,maspermitirissoparaadministradores.

Aquiestáoqueeufiz

EmvezdenegarpermissãoparatodoogrupoUsers,decidinegarpermissãoapenasparaacontaqueusonodia-a-dia.

NatelaPropriedadesdapasta(cliquecomobotãodireitonapastaeselecionePropriedades):

  1. cliqueemAdvanced
  2. cliqueemChangePermissions
  3. cliqueemAdd
  4. digiteonomedeusuáriodacontaquedesejorestringir
  5. cliqueemCheckNames:onomedeusuáriototalmentequalificado(porexemplo:MyPC\John)devepreencherautomaticamenteaáreadetexto
  6. cliqueemOK
  7. Umpop-upquepermitedefinirpermissõesgranularmenteparaosusuáriosselecionadosdeveseraberto.Aquiestáoqueeufizcomomeu:

Mais importante, neguei todas as permissões Escrever , Excluir , Alterar permissões e Obter propriedade . Agora as coisas parecem estar funcionando como planejado. Com minha conta do dia-a-dia, não consigo gravar nem excluir arquivos na pasta de backup. No entanto, como Admin , posso fazer as duas coisas. Um backup manual acabou de ser concluído com sucesso, assim as coisas parecem estar corretas. Eu saberei amanhã se a tarefa agendada é executada sem problemas.

Esta ainda não é a correção que estou procurando

O que eu gostaria é que todos os usuários não administradores sejam restritos. Minha solução bloqueia apenas um não-administrador - MyPC\John - mas se outro perfil não administrativo for criado (ou talvez mesmo se meu nome de usuário for alterado?) As restrições seriam ignoradas. Estou procurando algo mais próximo da proteção no diretório C:\Program Files : sempre sou impedido de fazer alterações se não sou administrador.

    
por BeetleJuice 24.06.2017 / 01:26

2 respostas

1

Em vez de tentar bloquear determinadas contas de usuário, basta conceder permissões às contas que você deseja executar a tarefa de backup. Você pode permitir que todo o grupo Administradores, ou apenas algumas contas administrativas, executem as tarefas de backup. Em outras palavras, não há motivo para DENY nenhuma conta ou grupo de contas, porque elas já serão negadas se não houver nenhuma entrada na lista de permissões que lhes dê acesso.

    
por 24.06.2017 / 03:40
1

O que está acontecendo? (Parte 1)

"Negar" é muito perigoso. Se um usuário / processo tiver a permissão "permitir" e a permissão "negar", é negado o acesso. O problema aqui é que sua conta de administrador é secretamente um membro do grupo Usuários. Você pode ver isso se você executar whoami/groups em um prompt de comando executando como Admin. (Você pode achar a saída mais legível se você digitar whoami/groups /fo list .) Eu digo que "é secretamente um membro do grupo Usuários" porque eu encontrei dois ou três outros caminhos de verificar quais usuários estão em quais grupos, e eles não mostraram que o usuário Admin está no grupo Usuários.

O que está acontecendo? (Parte 2)

Veja mais de perto as permissões no diretório agora. Eu encontrei isso para o diretório raiz da minha unidade C: :

"Usuários autenticados" têm muito acesso!

O que fazer?

Use a resposta do kreemoweet . Mas primeiro, descubra por que você tem permissão de gravação para F:\Files . Veja suas permissões e as do diretório raiz, F:\ . Procure entradas de "Todos" e entradas de "Usuários autenticados", e encontre a entrada que está lhe dando permissão de escrita (através das caixas de seleção marcadas "Allow") e desmarque-as . Não marque as caixas de seleção "Negar".

Deixe-me expandir isso. Você provavelmente encontrará uma entrada de controle de acesso para F:\Files que lhe dá acesso de escrita. Se for "< não herdado >", você poderá editá-lo diretamente. Se ele disser que é herdado de F:\ , você provavelmente descobrirá que pode marcar as caixas de seleção que estão em branco, mas você não pode limpar os que já estão marcados (e eles estão acinzentados para indicar isso). Desmarque a caixa que diz "Incluir permissões herdáveis do pai desse objeto":

Sevocêreceberumpop-upassim:

selecione"Adicionar". Agora você deve ver que todas as entradas de permissão para F:\Files são "< não herdadas >" cópias das entradas que estavam lá antes. Agora você poderá editar completa e livremente essas permissões e desmarque as caixas que estão lhe dando acesso de gravação.

Então, quando você desativou o acesso de gravação para usuários não administradores, vá em (para a mesma ACL; por exemplo, para F:\Files ) e adicione uma entrada para dar acesso de gravação ao grupo "Administradores".

Uma alternativa
Eu não tentei isso, mas: além da conta "Admin" que você criou quando você inicializou no Windows pela primeira vez, existe uma conta interna chamada "Administrador" que está desativado e oculto por padrão. As instruções para mostrar e ativar são fáceis de encontrar aqui no SuperUser e em outros lugares. Você pode achar que "Administrador" não é um membro do grupo Usuários, e que você pode executar seu backup como "Administrador". Mas tente resposta do kreemoweet primeiro; Eu não sei se isso vai funcionar.

    
por 24.06.2017 / 11:15

Tags

Extrai números de uma string no Excel Lastpass confusion - qual usar?