Gibt es größere Risiken, wenn ich einen Windows-Dienst als angemeldeter Benutzer ausführe?

Gibt es größere Risiken, wenn ich einen Windows-Dienst als angemeldeter Benutzer ausführe?

Gibt es Risiken, wenn ich einen Dienst als Administrator (und Anmelde-)Benutzer auf einem Windows 10-Computer ausführe? Wird das Kennwort beispielsweise auf der Festplatte so gespeichert, dass es für jemanden zugänglich ist, der physischen Zugriff auf den Computer hat? Natürlich besteht das Risiko, dass der Dienst auch Code als Benutzer ausführt, aber ich weiß nicht, ob das schlimmer wäre, als als SYSTEM ausgeführt zu werden.

Warum ichwollenDazu habe ich mehrere hundert Gigabyte an Dateien verschlüsselt mitEFS, und ich möchte diese Dateien sichern. Dies erfordert, dass der Sicherungsdienst die Dateien lesen kann, was er nicht kann, da der SYSTEM-Benutzer nicht über das entsprechende Zertifikat verfügt. Das Hinzufügen des Zertifikats für den SYSTEM-Benutzer zu diesen Dateien wäre eher suboptimal, da dieses Zertifikat im Ruhezustand im Wesentlichen nicht verschlüsselt ist – wodurch jeglicher Schutz, den EFS bieten könnte, aufgehoben wird. Wenn Sie den Sicherungsdienst als der betreffende Benutzer ausführen, können Sie auf die Dateien zugreifen.

Antwort1

Die Angabe eines Benutzerkontos zum Ausführen eines Systemdienstes erfordert die Angabe eines Kennworts.

Die Kontodaten werden gespeichert als Private LSA-Daten in der Registry unter dem Schlüssel HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_<ServiceName>. Der Zugriff auf diesen Schlüssel wird streng kontrolliert und ist nicht einfach und die Daten sind zudem verschlüsselt. Selbst für Administratoren ist ein Zugriff unmöglich.

Dennoch können die Daten gehackt werden, allerdings nur von einer sehr sachkundigen Person. Eine forensische Behandlung finden Sie im Artikel von Verwenden Sie PowerShell, um LSA-Geheimnisse aus der Registrierung zu entschlüsseln.

Meiner persönlichen Meinung nach ist der Schutz gut und das Passwort sicher genug. Wenn es jemandem mit so viel Wissen gelingt, ein solches Maß an Kontrolle über Ihr Setup zu erlangen, sind Service-Passwörter die geringste Sorge.

verwandte Informationen