Windows – Use service local e / ou conta de service de networking paira um service do Windows

Criei um service de window que monitora files em um diretório específico no nosso operating system Windows. Quando um file é detectado, o service faz algumas E / S de files, lê os files, cria subdiretórios, etc. Este service também usa conectividade de database paira se conectair a outro server. Meu plano é que o service seja executado como a conta padrão "Local Service". Uma vez que eu preciso permitir privilégios de gravação / leitura, que, apairentemente, a conta do "Serviço local" não faz por padrão, vou definir explicitamente os privilégios "Controle total" paira a conta "Serviço local" na pasta que eu sou leitura / escrita de e paira.

Eu acredito que o acima é um bom. Minha pergunta é, paira a pasta que eu estou lendo e escrevendo, preciso configurair uma function de "Serviço de networking" com access de controle total? Estou pensando se o meu service usa conectividade de database paira outro server, se eu precisair da configuration da conta "Serviço de networking".

  • Como eu edito um file de sistema que pairece estair sendo usado?
  • Como posso networkingfinir as permissions do file do Windows 7?
  • como membro do domínio, "executair com privilégios administrativos" sempre pede o nome do host
  • Como posso view qual process possui um bloqueio em um file de text?
  • Como alterair automaticamente as permissions paira files copiados paira um diretório?
  • O que é 'Executair como administrador' no Windows 7?
  • Talvez eu esteja mal entendendo o que a conta "Serviço de networking" faz.

  • Por que não consigo editair um file "Arquivos de Programas" no Windows 7?
  • como membro do domínio, "executair com privilégios administrativos" sempre pede o nome do host
  • Como posso networkingfinir as permissions do file do Windows 7?
  • Linha de command paira abrir o dialog Configurações de security avançadas
  • Como posso view qual process possui um bloqueio em um file de text?
  • Como executair o programa a pairtir da linha de command com direitos elevados
  • 2 Solutions collect form web for “Windows – Use service local e / ou conta de service de networking paira um service do Windows”

    A conta NT AUTHORITY\NetworkService só é necessária quando você se comunica com outros computadores em um domínio que precisa das cnetworkingnciais da sua máquina paira o controle de access. Não é necessário paira access simples à Internet / networking. Só é necessário paira fins específicos em um domínio do Active Directory.

    Também o ponto integer da conta NT AUTHORITY\LocalService é que tem privilégios mínimos no sistema. Dá-lo mais privilegiado diminui a security dos muitos services em seu sistema projetados paira executair no nível de privilégio baixo que foi projetado paira oferecer. Se o seu service requer privilégios acima e além disso, você deve criair uma nova conta paira ela com os privilégios necessários e definir essa conta na guia Logon das properties do service. (Isso também pode ser feito programaticamente.)

    Você também pode executá-lo usando a conta NT AUTORITY\LocalSystem , que tem os mesmos privilégios que um user administrativo no seu sistema, mas eu suponho que você quisesse usair a conta LocalService paira aumentair a security que ele fornece.

    A resposta anterior não pairece abordair as perguntas diretamente, então eu pensei que eu iria adicionair a ela.

    1. Meu plano é que o service seja executado como a conta padrão "Local Service". Eu vou definir explicitamente os privilégios "Controle total" paira a conta "Serviço local" na pasta da qual eu estou lendo / escrevendo. Eu acredito que o acima é um bom plano.

    Pessoalmente, não vejo um grande problema com este plano. Com BUILTINs, a escolha é entre:

    1. Correndo como LOCALSYSTEM – então, se este service for comprometido, o atacante é dono de tudo e imediatamente.
    2. Funcionando como LOCALSERVICE – por isso, se este service, ou qualquer um dos muitos outros services executados sob esta conta, estiviewem comprometidos, o invasor terá access a um diretório extra. *

    Provavelmente, adicionair algumas ACL extras paira poder usair a segunda opção é preferível. Sim, a opção mais segura paira um service de baixo privilégio, mas altamente sensível a security, seria executair em uma conta de service customizada e com baixo privilégio. Mas, a less que você queira criair uma nova conta / gerenciair passwords paira cada service que você implanta, usair LocalService paira tairefas menores não-sensíveis não é uma coisa tão terrível. Você só precisa tomair uma decisão responsável com base nessas considerações, como o que está nesse diretório ou esse database, impacto se forem violadas, etc.

    Embora de novo, por princípio de privilégio mínimo, você deve configurair o Full Control se Modify não for suficiente.

    2. Minha pergunta é, paira a pasta que eu estou lendo e escrevendo, preciso configurair uma function "Serviço de networking" com access de controle total? Estou pensando se o meu service usa conectividade de database paira outro server, se eu precisair da configuration da conta "Serviço de networking".

    Se o seu database exigisse o login do Windows Integrated / SSPI, então, você precisairia usair o NetworkService (ou uma conta de service de domínio) em todos os lugaires, ou seja, RunAs e permissions de diretório. Supondo que você também tenha concedido o seu nome de computador $ ou access à conta de domínio neste database. Eu duvido que você esteja fazendo isso, então, se ele usa authentication normal de nome de user / pwd, você deve ser capaz de fazer tudo com o LocalService. Você precisa conceder apenas um direito de conta nesse diretório, o que você usa em seus RunAs, e não ambos.

    3.Eu posso entender o que a conta do "Serviço de networking" faz.

    LocalService / NetworkService são contas quase idênticas no computador local. A diferença é principalmente o que eles podem fazer na networking. NS pode acessair alguns resources de networking porque ele apairece na networking como uma conta real (computador). Mas LS apairecerá como ANÓNIMO, por isso será negado principalmente tudo na networking.

    A propósito, você deve usair uma tairefa agendada paira isso, não um service.

    * A pairtir do Vista, devido ao isolamento do service , um process LocalService comprometido não pode facilmente atacair outro. Cada process / instância do service LocalService / NetworkService obtém seu próprio SID de session de logon exclusivo (proprietário exclusivo), ao contrário do Windows 2003. Mas não tenho certeza se isso é perfeito e mitiga completamente a vulnerabilidade DACL em files e resources. SIDs restrito e tokens restritos de escrita são mencionados neste context.

    Nós somos o genio da rede de computadores, vamos consertar as questões de hardware e software do computador juntos.