假设我在 Windows 10 Pro 计算机上更改了 Windows 本地帐户的密码。如果该本地帐户用于启动 Windows 服务,是否需要在服务上手动更新密码?
答案1
在我看来,这样的功能违背了基本的安全实践。如果在一个上下文中输入用户密码会自动在无限数量的我无法控制的其他上下文中输入该密码,我会认为这是一个严重的错误,并且会带来很大的安全隐患。
微软文章 关于服务登录帐户 这段文字支持了我的观点:
密码维护。
对于以用户帐户运行的服务, 你必须定期更改密码,并且保持密码同步使用一个或多个本地服务控制管理器用来启动服务的密码。
另一篇文章 使用域用户帐户作为服务登录帐户 说:
使用域用户帐户需要定期执行管理操作来维护帐户密码. 服务实例所在主机上的服务控制管理器 (SCM)缓存账户密码用于登录服务。更改账户密码时,还必须在安装该服务的主机上更新缓存的密码。有关更多信息和代码示例,请参阅更改服务用户帐户的密码。您可以通过保持密码不变来避免定期维护,但这会增加服务帐户遭受密码攻击的可能性。请注意,即使SCM 将密码存储在注册表的安全部分,但它仍然容易受到攻击。
这指定了 SCM 将服务密码存储在注册表中,但是当用户更改密码时不会调用 SCM。
因此,我的答案是否定的:即使在用户更改密码后系统服务在一段时间内似乎运行正常(因为服务的登录令牌不会因密码更改而失效),但也需要更改服务密码,以便 SCM 存储新密码。
答案2
是的。更改 Windows 密码也会更改服务。我已更改了自己的密码,服务也正确更改了。客户定期更改密码,服务仍可正常运行。