Назад | Перейти на главную страницу

Разрешение доступа LocalSystem к сетевой папке

Задний план

У нас есть служба Windows, работающая под учетной записью LocalSystem, запущенная на сервере. У нас есть отдельный сервер, содержащий вложения для нашего приложения, которые могут содержать PHI. Сегодня эта папка вложений недоступна для нашей службы Windows. Мы не можем контролировать сервер или какие приложения установлены на этом сервере.

Что мы хотим делать

Мы хотим иметь доступ к этой папке вложений из нашей службы Windows.

Предлагаемое нами решение

Мы рассматриваем возможность рекомендовать нашим клиентам предоставить учетной записи LocalSystem доступ к этой папке вложений. Насколько я понимаю, это позволит всем службам получить доступ к этой папке вместе со всем на этом сервере, олицетворяющим учетную запись LocalSystem.

Мои опасения

Поскольку мы не контролируем этот сервер, другие приложения будут работать на этом сервере, возможно, под учетной записью LocalSystem. Другие приложения могут иметь общедоступные веб-сайты IIS, настроенные с использованием учетной записи LocalSystem (надеюсь, нет). Дело в том, что я беспокоюсь о том, чтобы порекомендовать что-то, что может вызвать непреднамеренный доступ к этим документам PHI. Я предпочитаю создавать выделенную сетевую учетную запись, но я пытаюсь понять, оправдано ли мое беспокойство по поводу предоставления доступа к учетной записи LocalSystem.

Мой вопрос

Будет ли это считаться плохой практикой? Увеличивает ли это риск для безопасности?

У вас есть два варианта: вы можете создать учетную запись службы только для доступа к папке вложений (не забудьте настроить службу для работы с этой учетной записью службы) или вы можете использовать сервер (где служба работает под учетной записью LocalSystem) для доступа к папка вложения. Помните, что вам потребуется общий доступ к учетной записи компьютера (серверу, на котором вы используете LocalSystem) к папке вложений. Обязательно разрешите разрешения для общего файла, если вы используете управление DFS.

Предложения: Если вы хотите повысить безопасность между папкой вложений и сервером LocalService, вы можете:

  1. Установите правило на вашем брандмауэре (для управления трафиком между сервером и папкой вложений).

  2. Включите журналы аудита в папке вложений.

  3. Кроме того, если у вас есть хорошее антивирусное программное обеспечение, вы можете установить правила, разрешающие или запрещающие разрешения для папки вложений.