服务和服务帐户安全规划指南
本指南是用于规划策略以在 Microsoft® Windows Server™ 2003 和 Windows® XP 操作系统中安全地运行服务的重要资源。它解决了设置为使用可能的最大权限运行的 Windows 服务的常见问题,攻击者可能会利用这些服务来获取对计算机或域,甚至整个目录林的完全和不受限制的访问权限。它介绍了几种方法来确定可使用较小权限运行的服务,并且说明了如何有系统地将这些权限降级。本指南可以帮助您评估当前的服务基础结构,并在规划以后的服务部署时帮助您做出一些重要决策。
Microsoft 已测试了 Windows Server 2003 和 Windows XP 操作系统提供的服务使用其默认登录帐户运行的情况,以确保它们以可能的最低权限级别运行并且具有足够高的安全性。不需要修改这些服务。本指南的重点是确保并非由操作系统提供的服务的安全性,如作为其他 Microsoft 服务器产品的组件而提供的服务:例如,Microsoft SQL Server™ 或 Microsoft Operations Manager (MOM)。随第三方软件应用程序和内部开发的业务线应用程序一起安装的服务可能需要额外的安全增强功能。
本指南的主要目标是,帮助管理员减少主机操作系统上被操纵的服务造成的影响。本指南以 Microsoft 安全卓越中心 (SCoE) 在客户环境中获得的经验为基础,代表了 Microsoft 最佳做法。
详情请参考这里
http://www.microsoft.com/china/technet/security/topics/serversecurity/serviceaccount/default.mspx
下面三个常用的帐号,以及他们所拥有的权限,请仔细阅读
“本地系统”帐户
“本地系统”帐户是预定义的本地帐户,它可以启动服务并为该服务提供安全上下文。这是一个功能强大的帐户,它具有计算机的完全访问权限,在用于域控制器上运行的服务时,它还包含对目录服务的访问权限。该帐户用作网络上的主机帐户,因此,就像任何其他域帐户一样可以访问网络资源。在网络上,该帐户显示为 DOMAIN\<计算机名>$。如果某个服务使用域控制器上的“本地系统”帐户进行登录,则它具有该域控制器本身的“本地系统”访问权限,如果域控制器受到攻击,则可能会允许恶意用户随意更改域中的内容。默认情况下,Windows Server 2003 将一些服务配置为作为“本地系统”帐户登录。该帐户的实际名称是 NT AUTHORITY\System,并且它不包含管理员需要管理的密码。
“本地服务”帐户
“本地服务”帐户是一种特殊的内置帐户,它具有较少的权限,与经过身份验证的本地用户帐户类似。如果攻击者利用单个服务或进程,这种受限的访问权限有助于保护计算机。以“本地服务”帐户运行的服务作为空会话来访问网络资源;即,它使用匿名凭据。该帐户的实际名称是 NT AUTHORITY\LocalService,并且它不包含管理员需要管理的密码。
“网络服务”帐户
“网络服务”帐户是一种特殊的内置帐户,它具有较少的权限,与经过身份验证的用户帐户类似。如果攻击者利用单个服务或进程,这种受限的访问权限有助于保护计算机。以“网络服务”帐户运行的服务使用计算机帐户的凭据来访问网络资源,这与“本地系统”服务访问网络资源的方式相同。该帐户的实际名称是 NT AUTHORITY\NetworkService,并且它不包含管理员需要管理的密码。