Windows の管理されたサービス アカウントについて学び始めました。私の理解では、このようなアカウントを使用するとパスワード管理が容易になり、アカウントの使用を特定のマシンに制限できます。その後、そのユーザーを使用して必要なすべての Windows サービスを開始できます。
次のシナリオを想定します。
- SQL Server サービスは管理されたサービス アカウントで実行されます
- そのユーザーはSQL ServerのSAです
- 悪意のあるユーザーが同じマシンにサービスを作成し、同じマネージド サービス アカウントでそれを実行します。サービスの「ログオン ユーザー」を設定するときにパスワードが必要ないため、これが可能になります。
- そのサービスは、SA として SQL Server に接続できるようになりました。
マネージド サービス アカウントがなければ、SQL Server に接続するにはパスワードが必要になります。マネージド サービス アカウントがあれば、SQL Server サービスと同じユーザーでサービスを開始すれば接続できます。マネージド サービス アカウントは通常の AD ユーザーよりも悪用されやすいようです。
マネージド サービス アカウントを特定のサービスでのみ使用できるようにすることは可能ですか? それとも、何か見落としているのでしょうか?
答え1
いいえ、Windows アカウントは特定のサービスに限定することはできません。これには MSA も含まれます。