限制託管服務帳戶僅執行某些服務

限制託管服務帳戶僅執行某些服務

我已經開始學習 Windows 中的託管服務帳戶。據我了解,此類帳戶使密碼管理更加容易,並且可以限制帳戶在某些機器上使用。然後,您可以使用該使用者啟動您想要的每個 Windows 服務。

假設以下場景:

  1. SQL Server 服務使用託管服務帳戶執行
  2. 該使用者是 SQL Server 上的 SA
  3. 某些惡意使用者在同一台電腦上建立服務並使用相同的託管服務帳戶執行該服務。這是可能的,因為設定服務的「登入使用者」時不需要密碼
  4. 該服務現在可以作為 SA 連接到 SQL Server。

如果沒有託管服務帳戶,則需要密碼才能連線到 SQL Server。使用託管服務帳戶,使用與 SQL Server 服務相同的使用者啟動服務,您就可以進行連線。濫用託管服務帳戶看起來比普通 AD 用戶更容易。

是否可以確保託管服務帳戶只能用於特定服務?還是我錯過了什麼?

答案1

不可以,Windows 帳戶不能僅限於特定服務,其中包括 MSA。

相關內容