현재 로컬 관리자인 LOCAL_SYSTEM으로 실행되는 Windows 서비스가 있습니다. 서비스 기능 중 하나는 새 로컬 계정을 프로비저닝하고 이를 특정 그룹에 추가하는 것입니다. 다음이 가능합니까?
- 서비스 계정으로 특정 사용자 계정/그룹을 사용하고 새 계정을 생성할 수 있도록 권한을 할당합니다.
- 제한된 권한을 가진 사용자만 생성할 수 있도록 서비스를 제한합니다. 예를 들어 서비스가 제공하는 계정은 대화형 로그온이 없으며 특정 그룹의 구성원입니다.
- PowerShell을 사용하여 이를 구성합니다.
로컬 보안 정책을 통해 이것이 가능하다고 생각했지만 그렇지 않은 것 같습니다. 관리자에 서비스 계정을 추가하면 작동하지만 서비스 계정의 권한을 줄이는 데는 도움이 되지 않습니다.
이것의 요점은 서비스가 어떻게든 해킹당하는 경우 피해를 제한할 수 있다는 것입니다. 해커는 서비스 계정보다 권한이 낮은 계정만 만들 수 있습니다.
이는 도메인 계정이 아닌 로컬 계정과 관련이 있습니다.
답변1
Powershell을 사용할 수 있습니다JEA 역할 기능로컬 계정이 로컬 사용자 관리와 관련된 명령(New-LocalUser, Add-LocalGroupMember)만 사용할 수 있도록 허용하는 기능을 생성하고, 허용되는 매개 변수를 낮은 권한 그룹만 인수로 허용하도록 제한합니다.
이렇게 하면 시작됩니다.