在 Windows 10 電腦上以管理員(和登入)使用者身分執行服務是否有任何風險?例如,密碼是否會以實體存取機器的人可以存取的方式儲存在磁碟上?顯然,存在服務也可能以用戶身份運行程式碼的風險,但我不知道這是否會比以系統身份運行更糟糕。
至於為什麼我會想為此,我有數百GB的檔案加密EFS,我想備份這些文件。這要求備份服務能夠讀取文件,但由於系統使用者沒有適當的證書而無法讀取文件。將 SYSTEM 使用者的憑證新增至這些檔案的效果相當欠佳,因為該憑證本質上並未靜態加密 - 這會刪除 EFS 可能提供的任何保護。以相關使用者身分執行備份服務允許存取檔案。
答案1
指定運行系統服務的使用者帳戶需要指定密碼。
帳戶資料儲存為
LSA 私有資料
在註冊表中的鍵下
HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\_SC_<ServiceName>。對該金鑰的存取受到嚴格控制,並不容易,而且資料也已加密。即使是管理員也無法存取。
然而,數據可能會被駭客入侵,儘管只有非常有知識的人才能入侵。有關法醫治療的文章,請參閱 使用 PowerShell 從登錄中解密 LSA 機密。
我個人的看法是防護不錯,密碼夠安全。如果擁有這麼多知識的任何人都能夠對您的設定獲得這種程度的控制,那麼服務密碼就不是您最需要擔心的了。