Код события: 513 Источник: Microsoft-Windows-CAPI2

[westoff]

Форумчане, начал получать в журнал ошибки под кодом 513

Нашёл решение, но не могу толком понять, как это исправить. 

Не знаю мой ли "англицкий" плох или написано в свободной форме....Короче стрёмно, не понимая, следовать инструкциям.

Может кто помочь разрешить мне данную проблему?

Пост от szz743

http://answers.microsoft.com/en-us/windows/forum/windows8_1-hardware/cryptographic-services-failed-while-processing-the/c4274af3-79fb-4412-8ca5-cee721bda112?auth=1

Заранее благодарю.

 

[kmscom]

Надеюсь, что я могу помочь кому-то.

Я имел такую же проблему с свежей Windows 8.1 Pro.

Не мог найти ответа, так пришлось отлаживать Windows, чтобы найти решение.

 

"Microsoft Link-Layer Discovery Protocol" является двоичным файлом \Windows\system32\DRIVERS\mslldp.sys

Его конфигурацией в реестре является ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp

 

Во время резервного копирования VSS процесс, выполняющейся под учетной записью NETWORK_SERVICE, вызывает

cryptcatsvc! CSystemWriter::AddLegacyDriverFiles(), который перечисляет все драйверы записей в базе данных диспетчера управления службами и пытается открыть каждый из них. Функция завершается с ошибкой на запись MSLLDP «Отказано в доступе».

 

Оказалось, что для драйвера MSLLDP разрешения безопасности не позволяют NETWORK_SERVICE доступ к записи драйвера.

Двоичный дескриптор безопасности для записи находится здесь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsLldp\Security

 

Он должен быть изменен, я использовал SC. EXE и Sysinternals ACCESSCHK. EXE, чтобы исправить его.

 

Исходный дескриптор безопасности выглядел как:

>accesschk.exe -c mslldp

mslldp

RW NT AUTHORITY\SYSTEM

RW BUILTIN\Administrators

RW S-1-5-32-549 <-это операторы сервера

R NT SERVICE\NlaSvc

 

Нет разрешения учетной записи службы доступа к MSLLDP драйверу

 

Дескриптор безопасности для драйверов, которые были успешно обработаны, выглядел таким образом:

>accesschk.exe -c mup

mup

RW NT AUTHORITY\SYSTEM

RW BUILTIN\Administrators

R NT AUTHORITY\INTERACTIVE

R NT AUTHORITY\SERVICE <-это дает доступ сервисам

 

Как добавить права доступа для NT AUTHORITY\SERVICE к службе MSLLDP:

1. Запустите: SC sdshow MSLLDP

Вы получите что-то, как показано ниже (SDDL языка документирована на MSDN):

 

D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)

(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

2. Запустите: SC sdshow MUP

Вы получите:

 

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)

(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

3. принять службы NT AUTHORITY\ запись, которая является (A; CCLCSWLOCRRC;; SU) и добавить его в исходный дескриптор безопасности MSLLDP должным образом, прямо перед последней S: (AU... группы.

 

4. Примените новый дескриптор безопасности для службы MSLLDP:

 

sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

 

5. Проверьте результат:

 

> accesschk.exe - c mslldp

mslldp

RW NT AUTHORITY\SYSTEM

"BUILTIN\Администраторы" RW

RW S-1-5-32-549

R NT SERVICE\NlaSvc

R NT AUTHORITY\SERVICE

 

6. Запустите приложение резервного копирования, ошибки не стало для моего Домашнего резервного копирования Сервера.

!!! Не забывайте использовать свой дескриптор безопасности для драйвера MSLLDP, так как я предполагаю, что могут быть некоторые редкие случаи когда он различен для разных машин. Не копируйте мои описания SDDL на всякий случай. И скопируйте старый дескриптор на всякий случай!!!

 

Я не знаю, какую причину MS имел позади всего этого, вероятно некоторые проблемы безопасности, или вероятно это - просто ошибка. Определенно не проблема безопасности в моей среде.

 

Удачи!

[westoff]

 

 

принять службы NT AUTHORITY\ запись, которая является (A; CCLCSWLOCRRC;; SU) и добавить его в исходный дескриптор безопасности MSLLDP должным образом, прямо перед последней S: (AU... группы.

Спасибо.

вот собственно на этом я и споткнулся. Что сделать то нужно?

[kmscom]

Microsoft Windows [Version 10.0.10240]

(c) Корпорация Майкрософт (Microsoft Corporation), 2015 г. Все права защищены.



c:\>accesschk.exe -c mslldp



Accesschk v6.0 - Reports effective permissions for securable objects

Copyright (C) 2006-2015 Mark Russinovich

Sysinternals - www.sysinternals.com



mslldp

  RW NT AUTHORITY\???????

  RW BUILTIN\??????????????

  R  S-1-5-32-549

  R  NT SERVICE\NlaSvc



c:\>accesschk.exe -c mup



Accesschk v6.0 - Reports effective permissions for securable objects

Copyright (C) 2006-2015 Mark Russinovich

Sysinternals - www.sysinternals.com



mup

  RW NT AUTHORITY\???????

  RW BUILTIN\??????????????

  R  NT AUTHORITY\?????????????

  R  NT AUTHORITY\??????



c:\>SC sdshow MSLLDP



D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)



c:\>SC sdshow MUP



D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)



c:\>sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

[SC] SetServiceObjectSecurity: успех





c:\>accesschk.exe -c mslldp



Accesschk v6.0 - Reports effective permissions for securable objects

Copyright (C) 2006-2015 Mark Russinovich

Sysinternals - www.sysinternals.com



mslldp

  RW NT AUTHORITY\???????

  RW BUILTIN\??????????????

  R  S-1-5-32-549

  R  NT SERVICE\NlaSvc

  R  NT AUTHORITY\??????



c:\>

[westoff]

@kmscom, Вы меня переоцениваете.

Давайте исходить из того, что я совсем не понял о чём там речь идёт. 

[kmscom]

выполнить команду sc sdset MSLLDP добавив запись дескриптора службы NT AUTHORITY, которая является (A; CCLCSWLOCRRC;; SU) и добавить его в исходный дескриптор безопасности MSLLDP должным образом, прямо перед последней S: (AU... группы.

[westoff]

 

 

c:\>sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) [sC] SetServiceObjectSecurity: успех

Это от куда вообще брать? Прямо с той ветки всё целиком?

[kmscom]

Это от куда вообще брать?

c:\>SC sdshow MSLLDP

D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)

 

c:\>SC sdshow MUP

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

вот и получается

c:\>sc sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Изменено 4 ноября, 2015 пользователем kmscom

[westoff]

c:\>SC sdshow MUP D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

От сюда брать только

(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

?

Я всё равно не допёр, что мне в третьем пункте сделать нужно.....

Я вижу, что написано, но не понимаю в действиях, что это означает.

Сделал......

@kmscom, спасибо огромное. Заставили пошевелить извилинами. 

Изменено 4 ноября, 2015 пользователем westoff

[gostin87]

@westoff, 

Исправление событий CAPI2 513 ошибки во время резервного копирования Windows

 

Проверь целостность файлов с Командной строки(администратор) sfc /SCANNOW

Начало стадии проверки при сканировании системы.

Проверка 100% завершена.

Защита ресурсов Windows не обнаружила нарушений целостности.

 

Далее в Командной строки(администратор) ведите:

SC sdset MSLLDP D:(D;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BG)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SO)(A;;LCRPWP;;;S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Должен получится успешный результат вот такой: [sC] SetServiceObjectSecurity успех

Если это произошло, то проблема будет решена, и нет требуется перезагрузка.При следующем резервном копировании завершиться должно успешно.

Изменено 26 января, 2016 пользователем gostin87

[kmscom]

Сообщение от модератора kmscom

Закрыто. Вопрос решен топикстартером 4 ноября 2015