Ich habe angefangen, mich mit verwalteten Dienstkonten in Windows zu beschäftigen. So wie ich es verstehe, erleichtern solche Konten die Kennwortverwaltung und die Verwendung der Konten kann auf bestimmte Computer beschränkt werden. Sie können dann mit diesem Benutzer jeden gewünschten Windows-Dienst starten.
Nehmen wir folgendes Szenario an:
- Der SQL Server-Dienst wird mit einem verwalteten Dienstkonto ausgeführt
- Dieser Benutzer ist SA auf dem SQL Server
- Ein böswilliger Benutzer erstellt einen Dienst auf derselben Maschine und führt ihn mit demselben verwalteten Dienstkonto aus. Dies wäre möglich, da beim Festlegen des „Anmeldebenutzers“ des Dienstes kein Kennwort erforderlich ist.
- Dieser Dienst kann jetzt als SA eine Verbindung zum SQL Server herstellen.
Ohne verwaltete Dienstkonten bräuchte man das Passwort, um sich mit dem SQL Server verbinden zu können. Mit verwalteten Dienstkonten kann man einen Dienst mit demselben Benutzer wie den SQL Server-Dienst starten und sich verbinden. Es scheint einfacher zu sein, ein verwaltetes Dienstkonto zu missbrauchen als einen normalen AD-Benutzer.
Kann man dafür sorgen, dass der Managed Service Account nur mit einem bestimmten Dienst genutzt werden kann? Oder übersehe ich da etwas?
Antwort1
Nein, Windows-Konten können nicht auf einen bestimmten Dienst beschränkt werden, das gilt auch für MSAs.