我正在部署一个扫描文件的应用程序。我们的系统访问管理团队将提供一个 Windows 非交互式服务帐户,以便该应用程序可以访问文件共享。他们刚刚告诉我,没有办法阻止用户使用服务帐户映射驱动器并查看文件。
我不是网络专家,所以不知道这是否属实。有什么方法可以防止驱动器映射吗?
答案1
你说得太含糊了,但他们说他们会为你的服务创建一个服务帐户,以便你以该帐户登录并运行。
但是,在 Active Directory 或本地*中没有实际的“服务帐户”概念,因此在任何方面,这只是一个具有所需权限等的标准用户。他们可能会选择尽可能合理地限制它(注意:或者,他们可能不会!)但最终它需要访问某些东西才能使您的软件正常工作。
如果有人掌握了用户名和密码,那么理论上他们可以用它来验证身份并访问你的软件访问的任何内容。
但是,这本身并不是一个安全风险 - 不比拥有管理帐户等更大。答案是一样的:使密码复杂化、随机化,并只向真正需要它的人发布。
在我们推荐其他具体的降低风险的方法之前,我们需要有关您环境的更多详细信息,但我不确定用上述答案来接近他们是否会对您的专业关系有任何好处。
*然而,这个想法是最佳实践,有据可查,易于理解。但是你必须明白,没有“服务帐户”用户类型或任何其他东西。它只是一个描述性术语。