Una tarea programada que se está ejecutando bajo una cuenta específica no puede tener acceso a un recurso compartido de red en Windows XP

Síntomas

En un equipo basado en Microsoft Windows XP, una tarea programada que se está ejecutando bajo una cuenta específica no puede tener acceso a un recurso compartido de red. Este síntoma se produce cuando se cumplen las condiciones siguientes:
  • La cuenta específica tiene una sesión interactiva que se abrió mediante una tarjeta inteligente. En concreto, el usuario utiliza un número de identificación personal (PIN) en lugar de una contraseña para abrir la sesión interactiva.
  • Ha caducado el vale de Kerberos (TGT).
Después de la tarea programada no puede tener acceso el recurso compartido de red, puede anotarse un suceso similar al siguiente en el registro de sucesos de aplicación:
Tipo de suceso: advertencia
Origen del evento: mensaje
Categoría del suceso: SPNEGO (negociador)
Id. de suceso: 40960
Fecha: 5/19/2004
Hora: 09:25:51 A.M.
Usuario: N/D
Equipo: DEVXPVMWARE

Descripción:
El sistema de seguridad detectó un ataque ha intentado downgrade para servidor cifs/secur012. SECURDOM2.com. el código de error del protocolo de autenticación Kerberos era "Se presentó ningún PIN a la tarjeta inteligente (0xc0000382)".

Causa

Cuando el servicio Programador de tareas ejecuta un trabajo utilizando una cuenta específica, el servicio Programador de tareas intenta determinar si esta cuenta es también la cuenta del usuario ha iniciado la sesión actual. Si la cuenta es que de la actual usuario que inició sesión, el contexto de seguridad de la tarea programada se asigna al contexto de seguridad de ese usuario. Este proceso hace que los trabajos programados en la computadora del usuario.

Además, si la cuenta de usuario de la tarea programada es la cuenta del usuario ha iniciado la sesión actual, y si ese usuario utiliza una tarjeta inteligente para iniciar sesión, puede fallar el intento de acceso de red por la tarea programada. Este error de acceso a la red se produce cuando ha caducado el vale TGT. En este escenario, el proceso de actualización TGT falla. Porque los usuarios del contexto de seguridad mediante un inicio de sesión de tarjeta inteligente, el TGT actualizar proceso requiere que el usuario proporcione un PIN. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
323931 testigo de usuario caduca al iniciar sesión utilizando una tarjeta inteligente durante mucho tiempo

Nota: Se supone que el proceso de actualización TGT falla porque el usuario no escribió un NIP. En este escenario, no se utiliza el protocolo de autenticación de NTLM, incluso si se utiliza el paquete de seguridad Simple and Protected GSS-API negociación (SPNEGO). Para obtener más información acerca de SPNEGO, visite el siguiente sitio Web de IETF:.

Solución

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

No hay requisitos previos.

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en la herramienta fecha y hora del Panel de Control.
Windows XP Service Pack 1 (SP1)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:43 5.1.2600.1677 258,560 Mstask.dll
29-Apr-2005 23:40 5.1.2600.1677 10,752 Mstinit.exe
30-Apr-2005 01:43 5.1.2600.1677 173,568 Schedsvc.dll
29-Apr-2005 23:47 5.1.2600.1677 594,432 Xpsp2res.dll

Windows XP Service Pack 2 (SP2)
   Date         Time   Version            Size    File name
--------------------------------------------------------------
30-Apr-2005 01:07 5.1.2600.2667 192,000 Schedsvc.dll

Esta revisión crea la nueva subclave del registro siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\SchedulingAgent\DisableUSeOfTokenFromSession
Esta subclave permite deshabilitar la correlación entre los dos elementos siguientes:
  • El contexto de seguridad del programador de tareas, donde se especifica la entidad de seguridad mediante contraseña
  • El contexto de seguridad está relacionada con la sesión de usuario existente, donde se especifica la entidad de seguridad mediante una tarjeta inteligente y un PIN
Para habilitar la revisión, establezca el valor de la entrada de registro DisableUSeOfTokenFromSession a
1.
Nota: La nueva entrada del registro de UseOfSessionTokenDisabled y la opción Ejecutar sólo si se inicia sesión en Windows XP Service Pack 2 (SP2) se excluyen mutuamente y no se deben utilizar al mismo tiempo.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Propiedades

Id. de artículo: 887572 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios