Comecei a aprender sobre contas de serviço gerenciadas no Windows. Pelo que entendi, essas contas facilitam o gerenciamento de senhas e as contas podem ser limitadas para uso em determinadas máquinas. Você pode então iniciar todos os serviços do Windows que desejar com esse usuário.
Suponha o seguinte cenário:
- O serviço SQL Server é executado com uma conta de serviço gerenciado
- Esse usuário é SA no SQL Server
- Algum usuário mal-intencionado cria um serviço na mesma máquina e o executa com a mesma conta de serviço gerenciado. Isso seria possível porque nenhuma senha é necessária ao definir o “usuário de logon” do serviço
- Esse serviço agora pode se conectar ao SQL Server como SA.
Sem contas de serviço gerenciado, seria necessária a senha para poder se conectar ao SQL Server. Com contas de serviço gerenciadas, inicie um serviço com o mesmo usuário do serviço SQL Server e você poderá se conectar. Parece mais fácil usar indevidamente uma conta de serviço gerenciado do que um usuário normal do AD.
É possível garantir que a conta de serviço gerenciado só possa ser usada com um determinado serviço? Ou eu estou esquecendo de alguma coisa?
Responder1
Não, as contas do Windows não podem ser limitadas a um serviço específico, e isso inclui MSA.