Лучшая практика входа в систему сервера

tag-icon tag-icon windows security
Лучшая практика входа в систему сервера

Я видел много статей о передовой практике запуска приложений с учетной записью службы домена. Я пробовал это в своих лабораториях, устанавливая GPO, чтобы разрешить определенному пользователю домена входить в систему как служба

Однако, когда я установил новую программу (например, агент инструментов мониторинга), она все еще может работать под управлением Local System. И служба Application все еще работает под управлением Local System после перезапуска.

Насколько я знаю, у Local System очень высокие привилегии, и все говорили, что следует избегать ее использования, если в ней нет необходимости. Это значит, что при установке мне придется вручную изменить вход в систему как в службу на учетную запись службы, верно?

Можно ли запретить запуск службы с помощью локальной системы, настроив GPO или реестр?

Или мне нужно использовать учетную запись службы только для некоторых приложений, таких как службы SQL, веб-службы и службы приложений?

Я извиняюсь, если мои вопросы были неясны. Буду благодарен за предложения или советы.

решение1

  1. Существует множество системных служб, которые должны работать как LocalSystem; если бы вам удалось глобально запретить всем службам работать как таковым, это привело бы к полному краху ваших систем.

  2. Я предполагаю, что вы хотите предотвратитьПриложениякоторые запускаются как службы, а не как LocalSystem; нет способа принудительно это сделать.

  3. Учетная запись пользователя, используемая каждой службой, специфична для ее конфигурации; она настраивается при установке службы, обычно с помощью программы-установщика; этоможетмогут быть изменены администратором позже, но вам необходимо убедиться, что выбранная вами учетная запись пользователя имеет все необходимые разрешения (доступ к папкам, доступ к реестру, системные привилегии и т. д.); кроме того, изменения свойств входа в службу Windows обычно недостаточно: вам необходимо фактически настроитьприложениеиспользовать новую учетную запись службы (см. пример SQL Server).

  4. Большинство программ-установщиков, устанавливающих службы, запрашивают учетную запись службы для использования; если они этого не делают и используют только LocalSystem, скорее всего, она им действительно нужна (или, может быть, разработчик был ленивым); вам нужно уточнить у разработчика/поставщика, можно ли это изменить и как.

TL;DR: нет, не существует способа обеспечить соблюдение глобального стандарта «все службы должны работать с использованием учетных записей домена»; это должно контролироваться индивидуально для каждого приложения.

Связанный контент