Como endurecer a conta de serviço do Windows 2003

Navegue suas respostas
1

Eu lembro que havia um artigo sobre tecnologia de rede ou WindowsITpro sobre como proteger as contas de serviço do Windows 2003 há alguns anos.

Para fins de software de backup (como BackupExec / AppAsure / Etc .., por favor, não estrague isso) Eu tenho que criar uma conta de administrador de domínio (geralmente chamado de algo como "backup") e ter os serviços executados a partir desse conta.

Neste artigo, lembro que você pode criar o usuário administrador de domínio "Backup", mas não consegue fazer o login de forma interativa.

Algum de vocês se lembra de tal artigo ou tem o conhecimento de como fazê-lo?

    
por ITMan 28.04.2011 / 23:17

3 respostas

1

Eu aconselho criar um grupo chamado algo como 'DenyLogonLocally'. Em seguida, certifique-se de que esse grupo seja impedido de efetuar logon localmente usando um GPO.

Configuração do computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Direitos do usuário - > Negar Logon Loccaly

Adicione o usuário do Backup e outras contas de serviço a esse grupo. Você pode querer considerar a mesma técnica com os direitos de usuário 'Negar logon através dos Serviços de Área de Trabalho Remota' e 'Negar Acesso a este computador pela rede'.

As dicas de John também são boas.

    
por 19.03.2012 / 10:11
0

Existe uma configuração de direitos de usuário que restringe o login interativo. Procure Política de segurança local e Atribuição de direitos do usuário. Teste antes de ir longe demais.

Você também pode usar uma senha / frase secreta insanamente longa, pois não será necessário inseri-la com muita frequência. Essa é uma ótima maneira de endurecer a conta.

    
por 28.04.2011 / 23:39
0

Eu me lembro de ver esses artigos, mas tudo o que eles disseram, em muitas palavras, foi:

  • Limite o acesso da conta. Em particular, não os torne administradores de domínio se houver alguma maneira de evitá-los.
  • Torne as credenciais da conta tão seguras quanto práticas. Por exemplo, tente não usar nomes óbvios para a conta e garantir que as senhas sejam longas e strongs.
  • Não permita que ninguém acesse a conta, a menos que seja realmente necessário. Portanto, defina as permissões na própria conta de acordo.
  • Verifique se os detalhes relevantes estão registrados e protegidos com segurança. Afinal, se você conseguir se lembrar deles, terá uma memória excepcional ou terá falhado em escolher uma senha segura o suficiente.
  • Como em qualquer outra conta importante, verifique se a senha foi alterada periodicamente.

É lamentável que alguns sistemas de backup, como o BackupExec, exijam que a conta seja Administrador do Domínio, embora o Backup seja tudo o que realmente precisa. Isso é apenas um design ruim, mas é claro que os usuários não têm controle sobre isso.

    
por 29.04.2011 / 00:05

Tags

O usuário somente leitura do SQL Server pode se conectar localmente, mas não remotamente Configurações automáticas de ip, nome e dns para servidores virtuais sob demanda