Empecé a aprender sobre las cuentas de servicio administradas en Windows. Según tengo entendido, dichas cuentas facilitan la administración de contraseñas y el uso de las cuentas se puede limitar en determinadas máquinas. Luego puede iniciar todos los servicios de Windows que desee con ese usuario.
Supongamos el siguiente escenario:
- El servicio SQL Server se ejecuta con una cuenta de servicio administrada
- Ese usuario es SA en SQL Server.
- Algún usuario malintencionado crea un servicio en la misma máquina y lo ejecuta con la misma cuenta de servicio administrada. Esto sería posible porque no se requiere contraseña al configurar el "usuario de inicio de sesión" del servicio.
- Ese servicio ahora puede conectarse al servidor SQL como SA.
Sin cuentas de servicio administradas, se necesitaría la contraseña para poder conectarse al servidor SQL. Con las cuentas de servicio administradas, inicie un servicio con el mismo usuario que el servicio SQL Server y podrá conectarse. Parece más fácil hacer un mal uso de una cuenta de servicio administrada que un usuario normal de AD.
¿Es posible asegurarse de que la cuenta de servicio administrada solo se pueda utilizar con un determinado servicio? ¿O me estoy perdiendo algo?
Respuesta1
No, las cuentas de Windows no pueden limitarse a un servicio específico y eso incluye las de MSA.