Есть ли какие-либо риски при запуске службы от имени пользователя admin (и логина) на машине с Windows 10? Например, будет ли пароль храниться на диске таким образом, чтобы его мог получить кто-то с физическим доступом к машине? Очевидно, что есть риск, что служба может запустить код и от имени пользователя, но я не знаю, будет ли это хуже, чем запуск от имени SYSTEM.
А почему я быхотетьДля этого у меня есть несколько сотен гигабайт файлов, зашифрованных с помощьюЭФС, и я хотел бы сделать резервную копию этих файлов. Для этого необходимо, чтобы служба резервного копирования могла читать файлы, чего она не может из-за того, что у пользователя SYSTEM нет соответствующего сертификата. Добавление сертификата для пользователя SYSTEM к этим файлам было бы довольно неоптимальным, так как этот сертификат по сути не зашифрован в состоянии покоя, что затем удаляет любую защиту, которую может предоставить EFS. Запуск службы резервного копирования от имени соответствующего пользователя позволяет получить доступ к файлам.
решение1
Указание учетной записи пользователя для запуска системной службы требует указания пароля.
Данные учетной записи хранятся как
Личные данные LSA
в реестре под ключом
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_<ServiceName>. Доступ к этому ключу жестко контролируется и не прост, а данные также зашифрованы. Доступ к нему невозможен даже для администраторов.
Тем не менее, данные могут быть взломаны, хотя только очень знающим человеком. Смотрите для судебной экспертизы статью Используйте PowerShell для расшифровки секретов LSA из реестра.
Мое личное мнение таково, что защита хорошая, а пароль достаточно надежный. Если кто-то с такими знаниями сможет получить такой уровень контроля над вашей настройкой, то пароли к сервисам — это наименьшая из ваших забот.