Acronis не удалось включить право sebackupprivilege
Обновлено: 06.07.2024
Acronis True Image позволяет полностью решить проблему резервного копирования информации пользователей, гарантируя сохранность всех данных, хранящихся на жестких дисках компьютера, и их мгновенное восстановление в случае необходимости.
Программа Acronis True Image 9.0 решает проблему резервного копирования информации, гарантируя полную сохранность всех данных, хранящихся на жестких дисках компьютера. С ее помощью можно производить резервное копирование как отдельных файлов и папок, так и целых дисков или их разделов.
В случае какого-либо сбоя, нарушившего доступ к информации или работу системы, а также в случае нечаянного удаления нужных файлов, вы легко сможете восстановить работу системы и утраченную информацию.
Два в одном!
Теперь Acronis True Image 9.0 совмещает в рамках одного продукта два взаимодополняющих способа резервного копирования:
1) Резервное копирование разделов и целых дисков — создание точного образа диска (раздела), который содержит все данные, содержащиеся на жестком диске пользователя, в том числе: операционную систему, реестр Windows, драйверы устройств, приложения и данные, а также служебные области диска, скрытые от пользователя.
2) Резервное копирование любых файлов и папок на диске по выбору пользователя, что позволяет быстро сохранить только необходимую информацию и, тем самым, значительно сэкономить время и дисковое пространство.
Зона безопасности установлена 50 mb, поскольку мне она нужна только для восстановления при загрузке.
При попытке включить восстановление при загрузке пишет:
He удалось включить Восстановление при загрузке. (0х7Е)
Tag = 0X2DEF7741238DA427
Target file not defined (0x5F0002)
Tag = 0x643C5CF65CB40FBC
Сколько лет делают эту программу, и не могут сделать рабочими простейшие вещи. Не работает, так удали эту опцию, не морочь голову пользователю.
Добавлено:
Ошибка BAD_POOL_CALLER обычно вызывается некорректным драйвером или таким же софтом.
Добавлено:
Проверил также True Image Home 2010 и 2011.
Восстановление при загрузке активируется только в версии True Image Home 2010.
делает image и реставрирует их на компах с процессорами от p4 до i5
сейчас приобрела Hewlett Packard Z220:
Intel® C216 chipset и Intel Core™ i7-3770 processor.
на нем диск не грузится, виснет.
В поле "Резервное копирование и восстановление", при нажатии звёздочки появляющейся справа от пункта "Восстановить", появляются дополнительные опции.
Внизу списка: Больше-Переместить.
При перемещении одного копии куда либо, туда же перемещаются все копии лежащие рядом. Это типа фича такая, или баг?
Похоже на совок. Там, чтоб иметь возможность купить дефицитную книгу, нужно было оформить подписку на журнал "Коммунист".
Похоже это баг. Поскольку перемещаются не только файлы расширения .tib, которые теоретически могут быть взаимосвязаны, но и файлы расширения .vhd.
В предыдущей статье мы рассказывали, что одной из техник защиты от извлечения паролей из памяти Windows mimikatz-like утилитами является запрет получения debug-привилегии для администраторов системы с помощью групповой политики Debug Program. Однако недавно обнаружилось, что без прав отладки (в Windows это привилегия SeDebugPrivilege), локальный администратор сервера не может установить или обновлять Microsoft SQL Server. Дело в том, что установщик SQL Server при запуске проверяет наличие привилегий SeSecurity. SeBackup и SeDebug, которые нужны ему для запуска процесса SQL Server и получения информации об успешном запуске SQL Server. Вот как это выглядит.
Во время установки SQL Server при выполнении предварительных проверок установщик спотыкается на проверке Setup account privileges.
Откроем теперь отчет установки SystemConfigurationCheck_Report.htm.
Как вы видите, установщик при проверке правила HasSecurityBackupAndDebugPrivilegesCheck установил, что у текущего процесса отсутствует одна из следующих привилегий:
В логе есть более детальная информация, указывающая, что у процесса установки отсутствует флаг SeDebug:
(09) 2017-09-12 14:25:13 Slp: Initializing rule : Setup account privileges
(09) 2017-09-12 14:25:13 Slp: Init rule target object: Microsoft.SqlServer.Configuration.SetupExtension.FacetPrivilegeCheck
(09) 2017-09-12 14:25:13 Slp: Rule ‘HasSecurityBackupAndDebugPrivilegesCheck’ Result: Running process has SeSecurity privilege, has SeBackup privilege and does not have SeDebug privilege.
(09) 2017-09-12 14:25:13 Slp: Evaluating rule : HasSecurityBackupAndDebugPrivilegesCheck
(09) 2017-09-12 14:25:13 Slp: Rule running on machine: msk-sql10
(09) 2017-09-12 14:25:13 Slp: Rule evaluation done : Failed
Я решил поискать обходной путь получения прав SeDebugPrivilege без изменения или отключения политики Debug programs. И как оказалось, имеется довольно простой способ обхода этой политики при наличии прав локального администратора на сервере. В этом нам поможет утилита secedit, позволяющая управлять локальными политиками безопасности сервера.
Проверяем текущие привилегии:
whoami /priv
Как вы видите, сейчас в текущем токене пользователя отсутствует привилегия SeDebugPrivilege .
Экспортируем текущие права пользователей, настроенные групповыми политиками в текстовый файл:
secedit /export /cfg secpolicy.inf /areas USER_RIGHTS
Теперь с помощью любого тестового редактора нужно открыть на редактирование файл secpolicy.inf и в секцию [Privilege Rights] добавить строку, предоставляющую права Debug Programs группе локальных администраторов.
Сохраните файл. Теперь нужно применить новые пользовательские права:
secedit /configure /db secedit.sdb /cfg secpolicy.inf /overwrite /areas USER_RIGHTS
Примечание. Необходимо подтвердить перезапись текущих настроек.
Теперь нужно выполнить логофф/логон и с помощью secpol.msc убедиться, что для группы локальных администраторов назначены права Debug Program. Это же подтверждает команда whoami /priv:
SeDebugPrivilege Debug programs Enabled
Теперь можно запускать установку/обновлений SQL Server. Но стоит иметь в виду, что привилегия SeDebugPrivilege в данном случается назначается лишь временно и они будут сброшены при следующем обновлении групповых политик (но уже после logoff пользователя).
Как вы понимаете, включение запретительной политики Debug programs не является панацей от получения права SeDebugPrivilege вредоносными программами, которые уже проникли на сервер с правами локального администратора, что может скомпрометировать все учетные записи пользователей/администраторов, работящих на сервере.
В свете недавних событий с повышением вирусной активности многие организации стали уделять больше внимания вопросам всестороннего усиления мер безопасности в собственных ИТ-инфраструктурах. При этом некоторые из применяемых мер могут создать дополнительные сложности в работе самих ИТ-специалистов.
Как известно, в последних вариациях вирусов-шифровальщиков, таких как Petya , используются такие инструменты компрометации учётных данных, как Mimikatz . Одним из методов защиты от Mimikatz является запрет на получение в Windows-системе привилегии SeDebugPrivilege. В инфраструктуре Active Directory настроить такое ограничение можно глобально для всех компьютеров домена с помощью параметра групповой политики "Debug programs" в разделе Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment:
Если в данной политике явно задать доменную группу безопасности, то только члены данной группы смогут получить привилегию SeDebugPrivilege на всех компьютерах домена, на которые будет действовать данная групповая политика. Однако данная политика может осложнить жизнь не только инструментам типа Mimikatz, но и вполне легитимным приложениям, которые в своей работе могут использовать привилегии отладки. Например, после включения данной политики программа установки SQL Server 2012 может завершаться с ошибкой проверки правила " Setup account privileges " …
…в том случае, если пользователь, от имени которого выполнятся установка, не был предварительно включён в соответствующую доменную группу безопасности, даже не смотря на то, что данный пользователь входит в группу локальных администраторов сервера.
Если заглянуть в отчёт SystemConfigurationCheck_Report.htm , который создаётся в процессе установки SQL Server в каталоге типа " C:\Program Files\Microsoft SQL Server\110\Setup Bootstrap\Log\<отметка времени>\ "…
…, то мы увидим, что срабатывает правило HasSecurityBackupAndDebugPrivilegesCheck, которое и выполняет проверку наличия прав доступа SeSecurityPrivilege, SeBackupPrivilege и SeDebugPrivilege. Как я понял, если хотя бы одна из перечисленных привилегий не будет доступна пользователю, от имени которого запущен процесс установки SQL Server, то ошибка при проверке правила HasSecurityBackupAndDebugPrivilegesCheck неизбежна.
Как же быть в такой ситуации тем пользователям, которые являются локальными администраторами серверов, но не могут при этом установить SQL Server не прибегая к помощи администраторов безопасности уровня домена? Неужели каждый раз придётся терзать доменную группу безопасности, определённую в политике "Debug programs"?
Возникла идея "поковырять" вопрос того как, обладая правами локального администратора на сервере, но не входя при этом в группу безопасности из политики "Debug programs", успешно выполнить установку SQL Server. После некоторых экспериментов в этой области на платформе Windows Server 2012 R2 Standard с установщиком SQL Server Standard 2012 SP2 удалось добиться желаемого результата. В решении задачи помогла старенькая утилита ntrights.exe из пакета Windows Server 2003 Resource Kit Tools . Примеры использования утилиты можно найти в статье How to Set Logon User Rights with the Ntrights.exe Utility
Чтобы получить необходимую нам привилегию SeDebugPrivilege, достаточно выполнить команду типа:
где KOM\Vasya имя доменного пользователя, от имени которого мы будем выполнять установку SQL Server. После выполнения этой команды, соответствующему пользователю необходимо выполнить logoff/logon и запросить информацию о текущем наборе прав, например с помощью утилиты whoami:
Как видим, теперь все три нужные нам привилегии, необходимые для установки SQL Server получены, и мы можем снова попытаться выполнить установку. И на этот раз предварительная проверка и последующая установка должны пройти успешно.
Однако помните про то, что после очередного применения групповой политики право SeDebugPrivilege будет снова изъято (согласно настроек доменных GPO) и уже после следующего logoff/logon данная привилегия у нашего пользователя перестанет работать.
На мой взгляд, такое поведение системы можно расценивать, как уязвимость, которую помимо легитимного локального администратора может эксплуатировать и вредительское ПО с уровнем прав локального администратора. То есть, даже с глобально включённой в домене политикой "Debug programs", по факту остаётся риск получения права SeDebugPrivilege со стороны вредоносного ПО, использующего такие инструменты, как Mimikatz.
В этом разделе описаны настройки, которые можно изменить при установке.
Общие параметры
Защита Данных Monitor
Учетная запись, с использованием которой будут запускаться службы.
Можно выбрать один из следующих вариантов:
Использовать учетные записи пользователя услуги (по умолчанию для службы агента)
Учетные записи пользователя услуги — это системные учетные записи Windows, которые используются для запуска служб. Преимущество этой настройки состоит в том, что политики безопасности домена не влияют на права пользователей этих учетных записей. По умолчанию агент запускается в учетной записи Локальная система .
Создать учетную запись (по умолчанию для службы сервера управления и службы узла хранения)
Учетные записи будут иметь имена Акронис Agent User , AMS User и ASN User для агента, сервера управления и служб узла хранения соответственно.
Использовать следующую учетную запись
При установке продукта на контроллер домена программа установки предложит указать существующие учетные записи (или ту же учетную запись) для каждой службы. В целях безопасности программа установки не может автоматически создавать учетные записи на контроллере домена.
Эта настройка также позволяет использовать на сервере управления существующий сервер Microsoft SQL, установленный на другой машине, а также проверку подлинности Windows для SQL Server.
При выборе параметра Создать учетную запись или Использовать следующую учетную запись убедитесь, что политики безопасности домена не повлияют на права соответствующих учетных записей. Если права пользователя не были заданы для учетной записи при установке, данный компонент может работать неправильно или вообще не работать.
Права, требуемые для учетной записи входа
На машине Windows агент запускается как Managed Machine Service (MMS). Для надлежащей работы агента учетная запись, под которой запускается агент, должна иметь специальные права. Поэтому пользователю MMS необходимо назначить следующие права:
Назначены следующие права пользователя:
Пользователь ASN должен иметь права локального администратора на машине с установленным узлом хранения Акронис .
Назначение прав пользователя
Обратите внимание, что не рекомендуется вручную менять учетные записи входа после окончания установки.
Установка сервера управления
База данных, которая должна использоваться сервером управления. По умолчанию используется встроенная база данных SQLite.
Можно выбрать любую из указанных ниже версий Microsoft SQL Server:
Выбранный экземпляр может использоваться и другими программами.
Порт, который будет использоваться веб-браузером для доступа к серверу управления (по умолчанию 9877) и порт, который будет использоваться для связи между компонентами продукта (по умолчанию 7780). Изменение последнего порта после установки потребует перерегистрации всех компонентов.
Брандмауэр Windows настраивается автоматически при установке. Если используется другой брандмауэр, убедитесь, что порты открыты как для входящих, так и для исходящих запросов, проходящих через этот брандмауэр.
Веб-справка по Акронис Защита Данных 15 Обновление 2 . © ООО Акронис Инфозащита, 2021
Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.
Учетные записи пользователей Windows обладают привилегиями, иначе - правами, которые позволяют или запрещают выполнять определенные (привилегированные) действия над всей системой, а не над отдельными объектами, например правом на вход в систему, отладку программ других пользователей, изменение системного времени и т. п. Некоторые, исключительно «мощные» привилегии (те, что позволяют выполнять важные и небезопасные действия) перечислены в табл. 7-1.
Таблица 7-1. Наиболее важные привилегии Windows
Имейте в виду, что область действия этих привилегий ограничена локальной системой, но ее можно расширить на весь домен, назначив соответствующие групповые политики. Привилегии одного пользователя на двух разных компьютерах иногда сильно отличаются. Настройка локальной политики позволяет предоставить привилегии только на данном компьютере, но никак не на других компьютерах в сети.
Познакомимся детально с каждой из перечисленных привилегий.
Привилегия SeBackupPrivilege
Учетной записи с привилегией Backup files and directories доступно чтение файлов, прямого доступа к которым у нее нет. Так, если пользователю Blake нужно сделать резервную копию файла, он сможет считать файл, несмотря на то, что ACL файла явно запрещает ему доступ обычными средствами. Программа резервного копирования читает файлы, вызывая функцию CreateFile с флагом FILE_FLAG_ BACKUP_SEMANTICS. В этом легко убедиться, выполнив следующие операции.
1. Войдите в систему под учетной записью с привилегией, разрешающей архивирование файлов и каталогов, например под учетной записью локального администратора или оператора архива.
2. Создайте небольшой текстовый файл Test.txt с произвольным содержимым.
3. Средством редактирования ACL добавьте в файл запись ACE, явно запрещающую вам доступ. К примеру, если имя учетной записи Blake, добавьте такую ACE: Blake (Deny All).
printf("OpenProcessToken() завершилась с ошибкой -> %d", GetLastError()); return -1;
printf("AdjustTokenPrivileges() завершилась с ошибкой ->%d", GetLastError());
printf("AdjustTokenPrivileges() выполнена успешно, но не все привилегии заданы \n");
рг^'Г("\п\пПытаемся считать %s с флагами 0x%x \ n", szFileName, dwFlags);
printf("Функция CreateFile() завершилась с ошибкой -> %d",
printf("ReadFile() завершилась с ошибкой - > %d", GetLastError());
printf("Использовано: %s <filename>", argv[0]); return;
Этот пример кода вы найдете среди других примеров в папке Secureco2\Chap-terQJ. При работе программа должна вывести в отладочном окне следующее:
Пытаемся считать Test.txt с флагами 0x80.
Функция CreateFile() завершилась с ошибкой -> 5
Пытаемся считать Test.txt с флагами 0x2000080 flags Успех, считано 15 байт.
Текст: Hello, Blake!
Как видите, первый вызов CreateFile завершился с ошибкой запрета доступа (ошибка с номером 5), а второй удался, так как мы добавили привилегию, разрешающую архивирование, и установили флаг FILE_FLAG_BACKUP_SEMANTICS.
При работе с SeBackupPrivilege я использовал дополнительный код. Однако, если у пользователя уже есть привилегии SeBackupPrivilege и SeRestorePrivilege, дополнительно ничего делать не придется. Воспользовавшись NTBackup.exe, он сможет прочитать любой файл, для этого следует сделать резервную копию в обход ACL, а затем восстановить файл в месте, где у него прав больше.
Предоставление привилегии SeBackupPrivilege ставит под удар безопасность. Ведь никак не удастся проверить, с какой целью пользователь копирует данные: делает резервную копию или просто ворует их; поэтому наделяйте этой привилегией только пользователей, которым доверяете.
Привилегия SeRestorePrivilege
Несложно догадаться, что она противоположна привилегии резервного копирования. Она позволяет переписывать файлы, в том числе DLL-библиотеки и EXE-файлы, к которым обычного доступа у злоумышленника нет! Кроме того, она предоставляет право поменять владельца объекта, а владелец обладает безграничным доступом к объекту.
Привилегия SeDebugPrivilege
Кроме того, вызовом функции TerminateProcess пользователю с привилегией Debug Programs удастся завершить любой процесс в системе. Иначе говоря, такой, обычный в других отношениях, пользователь может запросто «уронить» систему, «грохнув» один их ключевых системных процессов, например Lsass.exe, диспетчер локальной безопасности (Local Security Authority, LSA).
И это только цветочки!
Отличный источник информации о внедрении кода в потоки программ - книга Джеффри Рихтера (Jeffrey Richter) «Programming Applications for Microsoft Windows» (Microsoft Press) (Рихтер Дж. Windows для профессионалов: Создание эффективных Win32-приложений с учетом специфики 64-разрядной версии Windows. СПб.: «Питер»; М.: «Русская Редакция», 2001).
Примечание Вопреки сложившемуся мнению, учетная запись нуждается в привилегии Debug Programs только для отладки процессов, принадлежащих другим учетным записям. Для отладки собственных процессов таких прав не надо. Так, пользователю Blake не нужна привилегия для отладки любого из своих приложений, но она понадобится для отладки процессов, принадлежащих Cheryl.
Привилегия SeTcbPrivilege
Учетную запись с привилегией Act as part of the operating system [ее также часто называют Trusted Computing Base (TCB)] можно рассматривать как высоконадежный системный компонент. Она предоставляет максимум полномочий и поэтому считается самой опасной в Windows. Вот почему по умолчанию эта привилегия предоставляется только учетной записи SYSTEM.
Внимание! Не следует предоставлять привилегией ТСВ, если нет очень серьезных на то оснований. Надеюсь, прочитав эту главу, вы поймете, что лучше обойтись без нее.
Примечание Чаще всего необходимость предоставления привилегии TCB обусловлена необходимостью вызова функций типа LogonUser, которые без нее не работают. Но, начиная с Windows XP, при вызове LogonUser из приложения для входа под пользовательской учетной записью Windows эта привилегия больше не требуется. Тем не менее она нужна при входе под учетной записью Passport или когда параметр GroupSid не равен NULL
Привилегии SeAssignPrimaryTokenPrivilege и SeIncreaseQuotaPrivilege
Учетная запись с привилегиями Replace A Process Level Token и Increase Quotas позволяет получить доступ к маркеру процесса другого пользователя и создать от его имени новый процесс - так называемые атаки с подменой источника (spoofing) или с целью повышения полномочий.
Привилегия SeLoadDriverPrivilege
Исполняемый код ядра считается очень надежным и пользуется практически неограниченным доверием, поэтому ему доступны любые операции. Для загрузки кода в ядро обязательна привилегия SeLoadDriverPrivilege, так как загруженный код может выполнять множество потенциально опасных действий. Предоставлять эту привилегию рядовому пользователю опасно, поэтому по умолчанию ею обладают только администраторы.
Замечу, что для загрузки драйверов самонастройки (Plug and Play) эта привилегия не нужна - их загружает системная служба Plug and Play.
Привилегия SeRemoteShutdownPrivilege
Ее действие очевидно - она позволяет удаленно завершать работу компьютера. Заметьте: как и в остальных случаях, пользователь должен обладать привилегией на целевом компьютере. А теперь представьте себе, сколько радости вы доставите злоумышленнику, предоставив эту привилегию группе Everyone (Все) на всех компьютерах сети! Никакая успешная распределенная DоS-атака (Denial of Service) не сможет создать такой кавардак!
Привилегия SeTakeOwnershipPrivilege
В Windows NT/2000/XP существует понятие владелец объекта (owner). Это лицо (или объект), пользующееся полной и нераздельной властью над всеми объектами, которыми владеет. Обладателю этой привилегии ничего не стоит «позаимствовать» объект у «законного» владельца, таким образом получив неограниченный доступ к любому объекту системы.
Примечание Bypass Traverse Checking (Обход перекрестной проверки), или SeChangeNotifyPrivilege - единственная привилегия, необходимая всем учетным записям пользователей. Она требуется для получения информации об изменениях файлов и каталогов. Впрочем, главное преимущество этой привилегии по умолчанию в том, что она позволяет избежать процедуры проверки доступа на пути к определенному объекту в любой файловой системе Windows или в реестре. Привилегия применяется при оптимизации файловой системы NTFS.
Читайте также: