频道栏目
读书频道 > 安全 > 雷神的微软平台安全宝典
5.2 创建并配置服务用户账户
2013-02-18 13:02:24     我来说两句
收藏   我要投稿

本文所属图书 > 雷神的微软平台安全宝典

《雷神的微软平台安全宝典》为读者学习微软平台相关的安全技术提供了一站式解决方案,这些技术可以用于部署一些典型的基础安全设施。本书从多个层面详细描述了安全相关的概念和方法论,包括服务器、客户端、组织...  立即去当当网订购

接下来介绍如何将在不同服务上下文中使用的最小特权概念扩展到所有能够控制的服务上,同时介绍如何部署的不同服务分别创建特定的用户账户以便能更紧密地控制它们能做什么,不能做什么。下面还会特别介绍如何在为Web应用程序池指定服务用户的时候使用这样的账户,以及如何在运行SQL Server和SQL Agent(本章将深入介绍与之有关的内容)的上下文环境中使用这样的账户。除此之外,还会介绍如何使用服务账户获取远程日志信息以及访问网络DCOM组件等内容。对于我来说,控制特别创建的用户账户要比简单使用本地服务账户和网络服务账号更好管理,也更具灵活性。有时候可以让特定的服务用户使用EFS访问敏感数据,当然也可以直接使用SYSTEM账户做这些事情,但是特定的用户账户更容易管理,而且使用这些用户账户操作EFS要比使用SYSTEM账户更方便。

为每个服务创建特定的用户账户是我的一贯方法,针对这种方法的优点和缺点问题,我和朋友之间有一些有趣的对话。我们争论的基本观点是:即使突破了某台计算机的本地系统权限,攻击者在这台计算机上能控制的范围也是有限的,因为本地系统账户只能给予受限的网络访问。我相信会有一些理论上的实质性证据能支持这个观点,但是在实践中,我绝对相信只要能获得联网系统中的SYSTEM权限,就可以获得对整个范围内所有资源的访问控制。当某个人认为系统级别的服务会暴露类似(如果不是相同的话)的漏洞,并且将被首先用来突破SYSTEM权限的时候,就进一步用事实证明了这一观点。记住,一旦域控制器上的SYSTEM权限被突破,一切就都完了。

的确,如果服务以域用户的权限运行,那么攻击者就自动继承了网络访问权限,但是我们能够知道这是哪个用户,因为在创建这个用户的时候就采用了限制权限的方式。如果SYSTEM进程被用来攻击网络,那么没有任何直接的方式可以知道正在进行的攻击行为。但是,如果运行了Web应用程序的用户账户开始登录主控制器,就能立即知道大概发生了什么事情。使用第6章“在最小特权环境中收集远程安全日志”中提供的管理接口日志提取程序,可以很轻松地实现对服务用户事件的自动响应。

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:5.1 引言
下一篇:5.2.1 活动目录的结构
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站