He visto muchos artículos de mejores prácticas sobre cómo ejecutar aplicaciones con una cuenta de servicio de dominio. Lo probé en mis laboratorios configurando GPO para permitir que un usuario de dominio específico inicie sesión como un servicio.
Sin embargo, cuando instalé un nuevo programa (por ejemplo, el agente de herramientas de monitoreo), aún puede ejecutarse mediante el sistema local. Y el servicio de la aplicación sigue ejecutándose como sistema local después de reiniciar.
Como sé, el sistema local tiene privilegios muy altos y todos dijeron que se debe evitar usarlo a menos que sea necesario. Esto significa que cuando instalo tengo que cambiar el inicio de sesión del servicio como servicio a cuenta de servicio manualmente, ¿verdad?
¿Puedo evitar que el servicio se ejecute con el sistema local configurando GPO o registro?
¿O solo tengo que usar la cuenta de Servicio en alguna aplicación como servicios SQL, servicios web y servicios de aplicaciones?
Pido disculpas si mis preguntas no quedaron claras. Se agradece cualquier sugerencia o consejo.
Respuesta1
Hay muchos servicios del sistema que deben ejecutarse como LocalSystem; Si realmente lograra evitar globalmente que todos los servicios se ejecuten como tales, esto resultaría en un colapso total de sus sistemas.
Supongo que quieres preveniraplicacionesque se ejecutan como servicios de ejecutarse como LocalSystem; no hay manera de hacer cumplir esto.
La cuenta de usuario utilizada por cada servicio es específica de su configuración; esto se configura al instalar el servicio, generalmente mediante un programa instalador; estepoderun administrador puede cambiarlo más tarde, pero debe asegurarse de que la cuenta de usuario que elija tenga todos los permisos necesarios (acceso a carpetas, acceso al Registro, privilegios del sistema, etc.); Además, cambiar las propiedades de inicio de sesión del servicio de Windows no suele ser suficiente: en realidad hay que configurar elsolicitudpara utilizar la nueva cuenta de servicio (consulte SQL Server como ejemplo).
La mayoría de los programas de instalación que instalan servicios solicitarán una cuenta de servicio para su uso; si no lo hacen y simplemente usan LocalSystem, es probable que realmente lo necesiten (o tal vez el desarrollador fue vago); debe consultar con el desarrollador/proveedor si esto se puede cambiar y cómo.
TL;DR: no, no hay forma de imponer un estándar global de "todos los servicios deben ejecutarse utilizando cuentas de dominio"; esto debe gestionarse individualmente para cada aplicación.