Sou um fornecedor que fornece instruções aos meus usuários para cobrir a situação em que eles desejam criar usuários em um servidor Windows simplesmente com o propósito de autenticação.
Nota: o Active Directory não está envolvido ou disponível.
Esse usuário não deve ter nenhum outro privilégio, nenhum acesso interativo ou de rede a esse servidor.
Esses usuários são criados usando o seguinte script CMD.
@echo off
echo Create group dbFrontUsers.
net localgroup dbFrontUsers /ADD
for /F "tokens=*" %%A in (UserList.txt) do (
echo Create user '%%A'
net user %%A changeM3! /add /comment:"10.5.2011" /fullname:"dbFront User %%A"
net localgroup "dbFrontUsers" %%A /add
ntrights -u %%A +r SeDenyNetworkLogonRight
ntrights -u %%A +r SeDenyInteractiveLogonRight
ntrights -u %%A +r SeBatchLogonRight
ntrights -u %%A -r SeDenyBatchLogonRight
ntrights -u %%A +r SeDenyServiceLogonRight
ntrights -u %%A +r SeDenyRemoteInteractiveLogonRight
)
Em que UserList.txt é um arquivo de texto que contém uma lista simples de nomes de usuário válidos. E o ntrights é uma ferramenta resourcekit para definir direitos de usuário individuais.
Meu aplicativo é configurado para validar todas as solicitações de login, consultando o servidor usando o LoginType do Batch.
Minha pergunta é: esses usuários têm privilégios inesperados que poderiam ser abusados externamente ou isso de alguma forma compromete o servidor de hospedagem?
Para aumentar a aposta, alguns dos meus clientes podem fazer isso intencionalmente em um servidor da Web.