Опять белорусское ИТ-безумие

[metaclass]

У одного клиента не работают назначенные задания, для бэкапа БД. Никто из саппорта не осилил, поэтому я решил посмотреть лично что там такое.
Пишет "запуск не удался". Причем только для cmd/bat файлов, exe запускаются как положено.
Запускаю procmon и туплю в действия svchost.exe. Оказывается - на cmd.exe были убраны разрешения на запуск от имени SYSTEM. Зачем - а хрен его знает зачем, очередная фантазия на тему безопасности или еще что-нибудь такое.

Comments

[bydlorus.livejournal.com]

И как это было найдено?

[metaclass.livejournal.com]

гугл, procmon и созерцание закладки "security" для файла cmd.exe

svchost.exe пытается создать задачу cmd.exe и выполнить bat-файл:

12:12:31,8518324 svchost.exe 1292 CreateFile C:\WINDOWS\system32\cmd.exe ACCESS DENIED Desired Access: Read Data/List Directory, Execute/Traverse, Read Attributes, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a
12:12:31,8519774 svchost.exe 1292 CreateFile C:\WINDOWS\system32\cmd.exe ACCESS DENIED Desired Access: Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a

[develop7]

чтобы эксплоит не смог батник запустить :)

[7j3db.livejournal.com]

не батник, а ватник.

[fd979.livejournal.com]

А что средствами самого бд не бекапится?
Или дампы снимаете?

[metaclass.livejournal.com]

Так я по расписанию запускаю "средство БД" которое бэкап делает, затем архивирую его.
Внутри самой СУБД никаких расписаний и job не поддерживается.