Log on as
当使用services.msc
实用程序查看已注册的服务时,有一个属性“ ”。
- 字段“
This account
”的语法是什么?例如,是什么NT AUTHORITY\LocalService
意思? - 服务帐户究竟是什么意思,它对服务本身有什么影响?例如,设置
Log on as
为.\Derek
意味着服务仅在名为的用户Derek
登录时运行?或者,无论用户是否登录,服务始终都会启动,但服务将拥有对系统资源的权限,就像 Derek 用户本身一样? Log on as
您能否提供一个将属性设置为指定用户帐户(例如"Mark"
用户)而不是默认值的 示例Local system account
?
答案1
服务账号到底是什么意思,它对服务本身有什么影响?
这就是服务“登录”操作系统的方式。
在服务中,它主要是为了安全目的而存在,但它的含义与普通用户帐户对程序的含义相同:它定义了什么使用权到您将拥有的系统。
例如,文件夹C:\Users\Ringger81
有“访问控制列表”,其中规定用户Ringger81
可以读取和更改这些文件,但其他用户则不能。因此,如果您登录 Windows,则Ringger81
可以访问这些文件,但其他帐户(例如家庭)则无权访问。
如果服务以用户身份运行Ringger81
,则有效完全一样的方式。
(不仅文件有 ACL,而且进程、设备、注册表项、打印机……许多其他类型的对象也都有。这就是为什么 Windows 有用户和管理员,以及“您是否允许此应用程序进行更改”提示。)
字段“此帐户”的语法是什么?例如,NT AUTHORITY\LocalService 是什么意思?
在所有 Windows NT 系列中,用户帐户的命名方式如下<DOMAIN>\<username>
。域描述了帐户来自何处,可以是:
- 在独立(工作组)PC 上,它是计算机名称 - 因为每台计算机都有自己的用户帐户。
- 在加入域 (Active Directory) 的 PC 上,当地的账户与上述相同,但领域账户当然以 AD“短域名”作为前缀。因此同一台计算机可以有
JOES-PC\Joe
(本地)和MYCOMPANY\Joe
(来自 AD)。 - 特殊域名
NT AUTHORITY
适用于各种内置账户每个 Windows 安装都附带有该权限。例如,NT AUTHORITY\SYSTEM
是权限最高的帐户(甚至高于管理员),由核心 Windows 服务使用。NT AUTHORITY\LocalService
类似但轻微地受限制的。 - 快捷方式
.
(例如.\Joe
)表示本地帐户这计算机;点被计算机名称替换。
您能否提供一个示例,将“以指定用户帐户(例如“标记”用户)的身份登录属性设置为默认的本地系统帐户?
让服务以“本地系统”身份运行可能会有风险。它们可以完全不受限制地访问计算机(再次强调,甚至比管理员的权限还要大)。
假设您安装了 Apache Web 服务器(通过 XAMPP 或其他方式)并将其配置为托管一个小型网站。过去,Apache 本身和流行的网站平台(如 Wordpress)都存在大量错误,导致访问者修改不该修改的文件,甚至诱骗网站在服务器上运行程序/命令。
如果 Apache 在其专用帐户上运行,则损害将仅限于其帐户所能做的事情:黑客也许可以删除网站的文件或完全禁用 Apache,但仅此而已。如果他们安装了恶意软件,则很容易清除。
但如果 Apache 作为“本地系统”运行,黑客找到安全漏洞就可以任何事物到服务器,例如窃取您的个人文件,将您完全锁定,甚至删除整个磁盘的内容。
请注意,上面的例子有一个投入的帐户,因为它提供了最大的保护。让服务在“人类”帐户下运行并不是很有用。