O que significa realmente 'Log on as a Service'?

7

Estou criando uma Política de Grupo para um novo domínio para o qual estamos migrando. Em nosso ambiente atual, as configurações Fazer logon como um serviço são definidas no nível da UO Servidor - que tem cerca de cem contas de serviço nesse campo para ter acesso a esse direito.

Eu gostaria de definir isso mais abaixo em nossa estrutura de árvore da UO (separamos os servidores com base no aplicativo que eles executam), mas alguns de nossos funcionários internos não querem definir essa diretiva. IE: não verificar a configuração na Diretiva de Grupo e permitir que os servidores locais lidem com quais contas são colocadas em sua diretiva local para essa configuração. Nossa equipe de segurança interna quer que ele seja definido como eu, mas o casal de pessoas que não quer que ele seja definido inclui um arquiteto - daí o conflito.

Consultei o Microsoft Premier Support (que não tinha uma resposta oficial para mim), a equipe interna, a equipe externa de TI e as horas de pesquisa na Internet, mas não encontrei nenhuma informação sobre se essa política deve ser definida em absoluto. Meu instinto é gerenciar isso via GPO para que possa ser facilmente auditado e gerenciado de um lugar (nossa empresa passa por várias auditorias externas de tempos em tempos).

A página de recursos da Microsoft: link é a única informação que posso encontrar sobre isso, mas diz para minimizar o número de contas que recebem este direito de usuário. Isso parece um pouco ambíguo para mim ...

Alguém pode me dizer o que eles acham dessas configurações?

    
por The Woo 18.04.2016 / 04:03

2 respostas

4

O artigo que você vinculou fornece uma explicação sobre quais direitos Fazer logon como um Serviço fornece:

The Log on as a service user right allows accounts to start network services or services that run continuously on a computer, even when no one is logged on to the console.

Em suma, você só quer fornecer esse direito às contas que precisam dele - por padrão, são as contas do Sistema Local, Serviço Local e Serviço de Rede, porque são esses os serviços executados por padrão.

Se você deseja executar um serviço em um diferente contexto de segurança (como uma conta de serviço criada), você deseja conceder à conta de serviço os direitos de Fazer logon como um serviço para que ele possa executar seu serviço sem a necessidade de um usuário estar logado. O artigo que você link fornece o IIS e o ASP.NET como exemplos em que contas adicionais recebem esse direito; aplica-se a programas de terceiros que funcionam como serviços também.

Se você não quiser executar todos os serviços como SYSTEM ou NetworkService, você deve configurar contas de serviço para serviços individuais e atribuir a eles este Logon como um Serviço . A principal vantagem de usar contas de serviço dessa maneira é que, se o serviço estiver comprometido, ele estará sendo executado no contexto de segurança da conta que o executa, em vez do contexto de segurança no nível do sistema que SYSTEM e NetworkService têm.

Portanto, a prática recomendada é atribuir esse direito apenas a contas nas quais os serviços são executados e executar serviços individuais em contas de serviço configuradas de acordo com princípio do menor privilégio (apenas dê a eles permissões que eles precisam executar; não dê a eles privilégios de admin ou SYSTEM). Gostaria de acrescentar que controlando isso pelo GPO é a abordagem mais segura. Se for controlado localmente em cada servidor, qualquer pessoa que obtiver direitos administrativos em um servidor pode controlar quais contas podem executar serviços nesse servidor, enquanto aplicá-lo por meio do GPO exige a obtenção dos direitos de domínio apropriados em um nível de domínio.

    
por 18.04.2016 / 06:27
1

"Esse direito de usuário é definido no Objeto de Diretiva de Grupo do Controlador de Domínio Padrão (GPO) e na diretiva de segurança local de estações de trabalho e servidores. Por padrão, nenhuma conta tem o privilégio de fazer logon como um serviço. "

link

Contas que não estão nessa lista não podem fazer login como um serviço, portanto, se você limpar a lista, seus serviços com contas de serviço não poderão mais ser iniciados.

Eu costumo criar um grupo de contas de serviço e colocar isso na política. Isso reduz o número de vezes que preciso fazer alterações na política em si. E, como você disse, é muito mais fácil fazer auditoria do que deixá-lo definir servidor para servidor.

    
por 18.04.2016 / 05:48