Prática recomendada de serviço de logon do servidor

tag-icon tag-icon windows security
Prática recomendada de serviço de logon do servidor

Já vi muitos artigos de práticas recomendadas sobre a execução de aplicativos com uma conta de serviço de domínio. Eu tentei em meus laboratórios definindo o GPO para permitir que um usuário de domínio específico faça logon como um serviço

No entanto, quando instalei um novo programa (por exemplo, agente de ferramentas de monitoramento), ele ainda poderá ser executado pelo sistema local. E o serviço de aplicativo ainda está em execução como sistema local depois de reiniciar.

Como eu sei, o Sistema Local tem privilégios muito altos e todos disseram que você deveria evitar usá-lo a menos que fosse necessário. Isso significa que quando eu instalo, tenho que alterar o logon do serviço como um serviço para a conta de serviço manualmente, certo?

Posso impedir que o serviço seja executado com o sistema local configurando o GPO ou o registro?

Ou só preciso usar a conta de serviço em alguns aplicativos, como serviços SQL, serviços Web e serviços de aplicativos?

Peço desculpas se minhas perguntas não foram claras, sugestões ou qualquer conselho agradeço

Responder1

  1. Existem muitos serviços do sistema que precisam ser executados como LocalSystem; se você realmente conseguisse impedir globalmente que todos os serviços funcionassem como tal, isso resultaria no colapso total dos seus sistemas.

  2. Presumo que você queira evitarformuláriosque são executados como serviços como LocalSystem; não há como impor isso.

  3. A conta de usuário utilizada por cada serviço é específica de sua configuração; isso é configurado durante a instalação do serviço, geralmente por um programa instalador; essepodeser alterado posteriormente por um administrador, mas você precisa ter certeza de que a conta de usuário escolhida possui todas as permissões necessárias (acesso a pastas, acesso ao registro, privilégios de sistema, etc.); Além disso, alterar as propriedades de logon do serviço do Windows geralmente não é suficiente: você precisa realmente configurar oaplicativopara usar a nova conta de serviço (veja SQL Server como exemplo).

  4. A maioria dos programas instaladores que instalam serviços solicitará uma conta de serviço para uso; se não o fizerem e apenas usarem LocalSystem, é provável que realmente precisem dele (ou talvez o desenvolvedor tenha sido preguiçoso); você precisa verificar com o desenvolvedor/fornecedor se isso pode ser alterado e como.

DR: não, não há como impor um padrão global de "todos os serviços devem ser executados usando contas de domínio"; isso deve ser gerenciado individualmente para cada aplicação.

informação relacionada