我已经开始学习 Windows 中的托管服务帐户。据我所知,此类帐户使密码管理更加容易,并且可以限制帐户仅在某些计算机上使用。然后,您可以使用该用户启动所需的每个 Windows 服务。
假设以下场景:
- SQL Server 服务使用托管服务帐户运行
- 该用户是 SQL Server 上的 SA
- 一些恶意用户在同一台计算机上创建服务并使用相同的托管服务帐户运行该服务。这是可能的,因为设置服务的“登录用户”时不需要密码
- 该服务现在可以作为 SA 连接到 SQL Server。
如果没有托管服务帐户,则需要密码才能连接到 SQL Server。使用托管服务帐户,使用与 SQL Server 服务相同的用户启动服务,即可连接。与常规 AD 用户相比,滥用托管服务帐户似乎更容易。
是否可以确保托管服务帐户只能用于特定服务?还是我遗漏了什么?
答案1
不可以,Windows 帐户不能仅限于特定服务,其中包括 MSA。