Câu hỏi Đăng nhập vào thuộc tính dịch vụ


Có một tài sản "Log on as"khi một người dùng services.msc tiện ích để xem các dịch vụ đã đăng ký.

  1. Sytntax của trường là gì?This account"? Ví dụ: những gì NT AUTHORITY\LocalService có nghĩa?
  2. Tài khoản dịch vụ thực sự có ý nghĩa gì và tác động gì đến dịch vụ chính nó nó có? Cho. ví dụ. đang có Log on as đặt thành .\Derek có nghĩa rằng dịch vụ chỉ chạy khi người dùng đặt tên Derek được đăng nhập? Hoặc có thể dịch vụ luôn bắt đầu bất kể người dùng đã đăng nhập hay chưa nhưng dịch vụ sẽ chỉ có các tài liệu hệ thống như chính người dùng Derek có?
  3. Bạn có thể cung cấp một trường hợp ví dụ cho cài đặt Log on as thích hợp để tài khoản người dùng được chỉ định (ví dụ: "Mark" người dùng) thay vì mặc định Local system account?

1
2017-11-16 15:51


gốc


Điều này nghe khá giống một câu hỏi về bài tập về nhà. - music2myear


Các câu trả lời:


Tài khoản dịch vụ thực sự có ý nghĩa gì và tác động gì đến bản thân dịch vụ mà nó có?

Đó là cách dịch vụ "đăng nhập" vào hệ điều hành.

Trong các dịch vụ, nó chủ yếu tồn tại cho mục đích bảo mật, nhưng nó vẫn có nghĩa giống như các tài khoản người dùng thông thường có nghĩa là các chương trình: nó định nghĩa cái gì truy cập với hệ thống bạn sẽ có.

Ví dụ: thư mục C:\Users\Ringger81 có "danh sách kiểm soát truy cập" cho biết người dùng đó Ringger81 có thể đọc và thay đổi các tệp đó, nhưng những người dùng khác thì không thể. Vì vậy, nếu bạn đăng nhập vào Windows như Ringger81 bạn có quyền truy cập vào các tệp đó, nhưng các tài khoản khác (ví dụ: gia đình) sẽ không có bất kỳ tệp nào.

Nếu một dịch vụ đang chạy với tư cách người dùng Ringger81, nó hoạt động chính xác theo cùng một cách.

(Không chỉ các tệp có ACL, mà còn là các quy trình, thiết bị, khóa đăng ký, máy in, ... nhiều loại đối tượng khác. Đó là lý do tại sao Windows có Người dùng và Quản trị viên, cũng như "Bạn có muốn cho phép ứng dụng này thực hiện thay đổi" không lời nhắc.)

Sytntax của trường "Tài khoản này" là gì? Làm giả. NT AUTHORITY \ LocalService nghĩa là gì?

Trong tất cả các dòng Windows NT, tài khoản người dùng được đặt tên như <DOMAIN>\<username>. Miền mô tả tài khoản đến từ đâu và có thể là:

  • Trên các máy tính độc lập (nhóm làm việc), đó là tên máy tính - vì mỗi máy tính có tài khoản người dùng riêng.
  • Trên các máy tính có tên miền (Active Directory), địa phương tài khoản giống như trên, nhưng miền tất nhiên các tài khoản được bắt đầu bằng "tên miền ngắn" của AD. Vì vậy, cùng một máy tính có thể có JOES-PC\Joe (địa phương) và MYCOMPANY\Joe (từ AD).
  • Miền đặc biệt NT AUTHORITY là cho nhiều tài khoản cài sẵn đi kèm với mọi cài đặt Windows. Ví dụ, NT AUTHORITY\SYSTEM là tài khoản đặc quyền nhất (ngay cả trên các Quản trị viên) và được sử dụng bởi các dịch vụ Windows cốt lõi. NT AUTHORITY\LocalService tương tự nhưng khinh bỉ bị hạn chế.
  • Phím tắt . (ví dụ. .\Joe) có nghĩa là tài khoản cục bộ trên điều này máy vi tính; dấu chấm được thay thế bằng tên máy tính.

Bạn có thể cung cấp một trường hợp mẫu để thiết lập Đăng nhập là thích hợp với tài khoản người dùng được chỉ định (ví dụ: "Đánh dấu" người dùng) thay vì tài khoản hệ thống cục bộ mặc định không?

Việc cho phép các dịch vụ chạy dưới dạng "Hệ thống cục bộ" có thể gây rủi ro. Họ có quyền truy cập không giới hạn đầy đủ vào máy tính (một lần nữa, thậm chí nhiều hơn Quản trị viên).

Giả sử bạn cài đặt máy chủ web Apache (thông qua XAMPP hoặc bất kỳ thứ gì) và định cấu hình nó để lưu trữ một trang web nhỏ. Trong quá khứ, cả Apache và các nền tảng trang web phổ biến (như Wordpress) đều có nhiều lỗi cho phép khách truy cập sửa đổi các tệp mà họ không nên hoặc thậm chí lừa trang web chạy các chương trình / lệnh trên máy chủ.

Nếu Apache đang chạy trên tài khoản riêng của mình, thiệt hại sẽ bị giới hạn vào những gì tài khoản của nó có thể làm: một hacker có thể xóa các tập tin của trang web hoặc vô hiệu hóa Apache hoàn toàn, nhưng không có gì hơn. Nếu họ cài đặt phần mềm độc hại, nó sẽ dễ dàng để dọn dẹp.

Nhưng nếu Apache chạy như "Hệ thống cục bộ", một hacker tìm thấy lỗ hổng bảo mật có thể làm bất cứ điều gì với máy chủ, ví dụ: ăn cắp tập tin cá nhân của bạn, khóa bạn ra hoàn toàn, hoặc thậm chí xóa toàn bộ nội dung của đĩa.

Lưu ý rằng ví dụ trên có chuyên dụng tài khoản, vì nó cung cấp sự bảo vệ nhất. Cho phép các dịch vụ chạy dưới một tài khoản "con người" không phải là rất hữu ích.


4
2017-11-16 16:32