Önceki cevap soruları doğrudan ele almadı, bu yüzden buna ekleyeceğimi düşündüm.
- Planım, hizmetin varsayılan "Yerel Hizmet" hesabı olarak çalıştırılmasını sağlamak. Okuduğum / yazdığım klasördeki "Yerel Hizmet" hesabı için açıkça "Tam Denetim" ayrıcalıklarını ayarlayacağım. Yukarıdakilerin iyi bir plan olduğuna inanıyorum.
Şahsen, bu planla ilgili büyük bir sorun görmüyorum. BUILTIN'lerle seçim aşağıdakiler arasındadır:
- LOCALSYSTEM olarak çalışıyor - bu nedenle bu hizmetin güvenliği ihlal edilirse, saldırgan her şeye sahip olur ve hemen.
- LOCALSERVICE olarak çalışıyor - bu nedenle bu hizmet veya bu hesap altında çalışan birçok hizmetten biri tehlikeye girerse, saldırganın fazladan bir dizine erişimi olur. *
Muhtemelen, ikinci seçeneği kullanabilmek için birkaç ekstra EKL eklemek tercih edilir. Evet, düşük ayrıcalıklı ancak güvenliğe son derece duyarlı bir hizmet için en güvenli seçenek, özel olarak uyarlanmış, düşük ayrıcalıklı bir hizmet hesabı altında çalışmak olacaktır. Ancak, dağıttığınız her hizmet için yeni bir hesap oluşturmak / parolaları yönetmek istemiyorsanız, hassas olmayan küçük görevler için LocalService kullanmak bu kadar korkunç bir şey değildir. Sadece bu dizinde veya bu veritabanında bulunanlar, ihlal edildikleri takdirde etkisi gibi bu hususlara dayanarak sorumlu bir karar vermeniz gerekir.
Yine de, en azından ayrıcalık ilkesine göre, sadece gerçekten yeterli Full Control
değilse ayarlamalısınız Modify
.
2. Sorum şu: Okuduğum ve yazdığım klasör için tam kontrol erişimine sahip bir "Ağ Hizmeti" rolü oluşturmam gerekiyor mu? "Ağ Hizmeti" hesap kurulumuna ihtiyacım olursa hizmetimin başka bir sunucuya veritabanı bağlantısı kullandığı için merak ediyorum.
Veritabanınız Windows Tümleşik / SSPI oturum açma gerektiriyorsa, evet, her yerde NetworkService (veya bir etki alanı hizmet hesabı) kullanmanız gerekir, örn. RunAs ve dizin izinleri. Bilgisayarınızın $ veya alan adı hesabınıza bu veritabanına erişim izni verdiğinizi varsayarsak. Bunu yaptığınızdan şüpheliyim, bu yüzden normal kullanıcı adı / pwd kimlik doğrulaması kullanıyorsa, LocalService ile her şeyi yapabilmeniz gerekir. RunAs'ınızda hangisini kullanırsanız kullanın, her ikisinde birden değil, bu dizinde yalnızca bir hesap hakkı vermeniz gerekir.
3. "Ağ Hizmeti" hesabının ne yaptığını yanlış anlıyor olabilirim.
LocalService / NetworkService , yerel bilgisayardaki neredeyse aynı hesaplardır. Fark esas olarak ağ üzerinde yapabilecekleri şeydir. NS, ağda gerçek (bilgisayar) bir hesap olarak göründüğü için bazı ağ kaynaklarına erişebilir. Ancak LS, ANONYMOUS olarak görünecektir, bu nedenle çoğunlukla ağdaki her şey reddedilecektir.
Bu arada, bunun için bir hizmet değil Zamanlanmış Görev kullanmalısınız.
* Vista'dan itibaren, hizmet yalıtımı nedeniyle , güvenliği ihlal edilmiş bir LocalService işlemi diğerine kolayca saldıramaz. Her LocalService / NetworkService hizmet işlemi / örneği, Windows 2003'ün aksine kendi benzersiz oturum açma oturumu SID'sini (benzersiz sahibi) alır. Ancak bunun mükemmel olduğundan ve dosya ve kaynaklardaki DACL güvenlik açığını tam olarak azalttığından emin değilim. Kısıtlı SID'lerden ve yazma kısıtlamalı tokenlerden bu bağlamda bahsedilmektedir.