为什么我应该避免在 Windows 上以本地服务用户身份运行自定义服务应用程序?

为什么我应该避免在 Windows 上以本地服务用户身份运行自定义服务应用程序?

我读过一篇关于开发作为 Windows 服务托管的自托管 Web 应用程序的文章 - 文章中提到我应该避免对此类应用程序使用本地服务帐户。

这是为什么?

部分由于这个原因,我在建立与本地数据库的连接时遇到了很多问题,所以也许理解这一点有助于我找出连接错误。

答案1

“在 LocalSystem 帐户下运行的一个优点是,该服务可以完全不受限制地访问本地资源。这也是 LocalSystem 的缺点,因为 LocalSystem 服务可以执行一些会导致整个系统崩溃的操作。特别是,在域控制器 (DC) 上以 LocalSystem 身份运行的服务可以不受限制地访问 Active Directory 域服务。这意味着服务中的错误或对服务的安全攻击可能会损坏系统,或者,如果服务位于 DC 上,则可能会损坏整个企业网络。”

简短的回答是,这是一个巨大的安全风险。

来源

相关内容