服务和服务帐户安全规划指南
本指南是用于规划策略以在 Microsoft® Windows Server™ 2003 和 Windows® XP 操作系统中安全地运行服务的重要资源。它解决了设置为使用可能的最大权限运行的 Windows 服务的常见问题,攻击者可能会利用这些服务来获取对计算机或域,甚至整个目录林的完全和不受限制的访问权限。它介绍了几种方法来确定可使用较小权限运行的服务,并且说明了如何有系统地将这些权限降级。本指南可以帮助您评估当前的服务基础结构,并在规划以后的服务部署时帮助您做出一些重要决策。
Microsoft 已测试了 Windows Server 2003 和 Windows XP 操作系统提供的服务使用其默认登录帐户运行的情况,以确保它们以可能的最低权限级别运行并且具有足够高的安全性。不需要修改这些服务。本指南的重点是确保并非由操作系统提供的服务的安全性,如作为其他 Microsoft 服务器产品的组件而提供的服务:例如,Microsoft SQL Server™ 或 Microsoft Operations Manager (MOM)。随第三方软件应用程序和内部开发的业务线应用程序一起安装的服务可能需要额外的安全增强功能。
本指南的主要目标是,帮助管理员减少主机操作系统上被操纵的服务造成的影响。本指南以 Microsoft 安全卓越中心 (SCoE) 在客户环境中获得的经验为基础,代表了 Microsoft 最佳做法。
详情请参考这里
http://www.microsoft.com/china/technet/security/topics/serversecurity/serviceaccount/default.mspx
下面三个常用的帐号,以及他们所拥有的权限,请仔细阅读
“本地系统”帐户
“本地系统”帐户是预定义的本地帐户,它可以启动服务并为该服务提供安全上下文。这是一个功能强大的帐户,它具有计算机的完全访问权限,在用于域控制器上运行的服务时,它还包含对目录服务的访问权限。该帐户用作网络上的主机帐户,因此,就像任何其他域帐户一样可以访问网络资源。在网络上,该帐户显示为 DOMAIN\<计算机名>$。如果某个服务使用域控制器上的“本地系统”帐户进行登录,则它具有该域控制器本身的“本地系统”访问权限,如果域控制器受到攻击,则可能会允许恶意用户随意更改域中的内容。默认情况下,Windows Server 2003 将一些服务配置为作为“本地系统”帐户登录。该帐户的实际名称是 NT AUTHORITY\System,并且它不包含管理员需要管理的密码。
“本地服务”帐户
“本地服务”帐户是一种特殊的内置帐户,它具有较少的权限,与经过身份验证的本地用户帐户类似。如果攻击者利用单个服务或进程,这种受限的访问权限有助于保护计算机。以“本地服务”帐户运行的服务作为空会话来访问网络资源;即,它使用匿名凭据。该帐户的实际名称是 NT AUTHORITY\LocalService,并且它不包含管理员需要管理的密码。
“网络服务”帐户
“网络服务”帐户是一种特殊的内置帐户,它具有较少的权限,与经过身份验证的用户帐户类似。如果攻击者利用单个服务或进程,这种受限的访问权限有助于保护计算机。以“网络服务”帐户运行的服务使用计算机帐户的凭据来访问网络资源,这与“本地系统”服务访问网络资源的方式相同。该帐户的实际名称是 NT AUTHORITY\NetworkService,并且它不包含管理员需要管理的密码。
服务和服务帐户安全规划指南相关推荐
- 将最小特权原则应用到 Windows XP 上的用户帐户
将最小特权原则应用到 Windows XP 上的用户帐户 发布日期: 2006年07月03日 若要查看有关本指南的评论或讨论,请访问 [url]http://blogs.technet.com/sec ...
- [译]Windows 服务用户帐户
在 Windows 操作系统中,每个服务都运行在一个用户帐户安全上下文中.其用户名和密码在服务安装时由 CreateService 函数指定,并可以通过 ChangeServiceConfig 函数进 ...
- 计算机用户账户类型,计算机系统帐户的分类
计算机系统帐户的分类_计算机基础知识_IT /计算机_信息 71人正在阅读| 1下载 计算机系统帐户的分类_计算机基础知识_IT /计算机_信息. 计算机系统帐户的分类帐户共有三种类型: 超级用户,系 ...
- 谷歌多账户登陆_如何一次登录多个Google帐户
谷歌多账户登陆 Google has carefully designed its account system so that it can be at the center of your dig ...
- 使用 Office 365 PowerShell 管理用户帐户和许可证(六)
使用 Office 365 PowerShell 禁止访问服务 上一次修改主题:2016-12-21 解释如何使用 Office 365 PowerShell 来添加或移除您组织中的用户对 Of ...
- 6425C-Lab3 管理用户与服务帐户(1)
本次实验共包括4个实验. 实验3A,创建和管理用户帐户. 实验3B,配置用户对象的属性. 实验3C,自动创建用户帐户. 实验3D,创建和管理托管服务帐户. ========== 实验3A 共有2个练习 ...
- Java生鲜电商平台-微服务生鲜电商用户中心的系统设计(小程序/APP)
Java生鲜电商平台-微服务生鲜电商用户中心的系统设计(小程序/APP) 说明:在微服务生鲜电商用户中心的系统设计中,我一直强调一个观点,就是你这个系统使用用户到底是TO B的还是TO C的呢?这个是 ...
- DIY NAS服务器之OMV 5.6入坑指南(二)- 安装omv-extras插件
系列文章目录 DIY NAS服务器之OMV 5.6入坑指南(一)-openmediavalut 5.6安装 DIY NAS服务器之OMV 5.6入坑指南(二)- 安装omv-extras插件 DIY ...
- EOSIO 指南(创建测试帐户)
创建测试帐户 什么是账户? 帐户是存储在区块链上的授权集合,用于标识发件人/收件人,它具有灵活的授权结构,使其可以由个人或一组个人拥有,具体取决于如何配置权限,需要一个帐户才能向区块链发送或接收有效的 ...
最新文章
- neutron DVR
- C 冒泡排序及其非常非常非常简单的优化
- 设置vim打开文件光标指在上次退出位置
- 举例说明层次分析的三大原则_一起来复习下陈印老师关于多选题做题思路的分析...
- [MODX] 2. Chunks $
- 图形化界面客户端连接phoenix操作hbase
- Oracle行转列语法总结大全
- ANDROID调用webservice带soapheader验证
- html有4个li怎么选择第二个,如何在html中使用两个具有不同属性的Li?
- http发送16进制报文_图解HTTP 第三章HTTP报文内的HTTP信息
- 【C/C++】一道试题,深入理解数组和指针
- springboot项目自定义注解实现的多数据源切换--亲测有效
- Unity NGUI 之 UIScrollView 基本用法
- NBU查看备份集大小
- 银河麒麟Linux系统安装谷歌浏览器
- 软件系统安全性测试列表
- 水星路由器 Mercury MER1200G刷机教程(不需要编程器)
- 传智播客风清扬视频------异常简述
- vmd参数优化 matlab,遗传算法优化VMD参数
- Mysql Workbench SSL错误