У нас есть служба Windows, которая в настоящее время работает как LOCAL_SYSTEM — фактически локальный администратор. Одна из функций службы — предоставление новых локальных учетных записей и добавление их в определенную группу. Возможны ли следующие действия?
- Используйте определенную учетную запись пользователя/группу для учетной записи службы и назначьте ей привилегии, чтобы она могла создавать новые учетные записи.
- Ограничьте службу так, чтобы она могла создавать только пользователей с ограниченными привилегиями. Например, учетные записи, которые предоставляет служба, не имеют интерактивного входа и являются членами определенной группы.
- Настройте это с помощью PowerShell.
Я предполагал, что это возможно через локальную политику безопасности, но, похоже, это не так. Добавление учетной записи службы в администраторы сработает, но не поможет мне снизить привилегии учетной записи службы.
Весь смысл в том, что если сервис каким-то образом взломают, мы сможем ограничить ущерб — хакер сможет создавать только учетные записи с меньшими привилегиями, чем учетная запись сервиса.
Обратите внимание, что это относится к локальным учетным записям, а не к учетным записям домена.
решение1
Вы можете использовать PowershellВозможности ролей JEAи создать возможность, которая позволяет локальной учетной записи использовать только команды, связанные с управлением локальными пользователями (New-LocalUser, Add-LocalGroupMember), и ограничить разрешенные параметры таким образом, чтобы в качестве аргумента принимались только группы с низкими привилегиями.
Это должно помочь вам начать: