我們有一個 Windows 服務,目前以 LOCAL_SYSTEM 身份運行 - 實際上是本機管理員。該服務的功能之一是提供新的本機帳戶並將其新增至特定群組。以下情況可能嗎?
- 使用特定的使用者帳戶/群組作為服務帳戶並為其指派權限,以便它可以建立新帳戶。
- 限制服務,使其只能建立具有有限權限的使用者。例如,服務提供的帳戶沒有互動式登錄,並且是特定群組的成員。
- 使用 PowerShell 進行設定。
我原以為透過本地安全策略可以做到這一點,但事實似乎並非如此。將服務帳戶新增至管理員可以工作,但不能幫助我減少服務帳戶的權限。
這樣做的全部目的是,如果服務以某種方式遭到駭客攻擊,我們可以限制損害 - 駭客只能建立權限低於服務帳戶的帳戶。
請注意,這涉及本機帳戶而不是網域帳戶。
答案1
你可以使用Powershell的JEA 角色能力並建立一項功能,允許本機帳戶僅使用與本機使用者管理相關的命令(New-LocalUser、Add-LocalGroupMember),並以僅接受低權限群組作為參數的方式限制允許的參數。
這應該可以幫助您開始: