Windows의 관리 서비스 계정에 대해 배우기 시작했습니다. 내가 이해하는 바에 따르면, 이러한 계정은 비밀번호 관리를 더 쉽게 만들고 특정 시스템에서 사용하도록 제한될 수 있습니다. 그러면 해당 사용자로 원하는 모든 Windows 서비스를 시작할 수 있습니다.
다음 시나리오를 가정해 보겠습니다.
- SQL Server 서비스는 관리 서비스 계정으로 실행됩니다.
- 해당 사용자는 SQL Server의 SA입니다.
- 일부 악의적인 사용자는 동일한 시스템에 서비스를 생성하고 동일한 관리 서비스 계정으로 이를 실행합니다. 이는 서비스의 "로그온 사용자"를 설정할 때 비밀번호가 필요하지 않기 때문에 가능합니다.
- 이제 해당 서비스는 SA로 SQL Server에 연결할 수 있습니다.
관리 서비스 계정이 없으면 SQL Server에 연결하려면 암호가 필요합니다. 관리 서비스 계정을 사용하면 SQL Server 서비스와 동일한 사용자로 서비스를 시작하고 연결할 수 있습니다. 일반 AD 사용자보다 관리 서비스 계정을 오용하는 것이 더 쉬워 보입니다.
관리 서비스 계정을 특정 서비스에만 사용할 수 있도록 할 수 있나요? 아니면 내가 뭔가를 놓치고 있는 걸까?
답변1
아니요, Windows 계정은 특정 서비스로 제한될 수 없으며 여기에는 MSA가 포함됩니다.