Назад | Перейти на главную страницу

Как усилить защиту учетной записи службы Windows 2003

Я помню, пару лет назад была статья в технической сети или WindowsITpro о том, как укрепить учетные записи служб Windows 2003.

Для целей программного обеспечения резервного копирования (например, BackupExec / AppAsure / Etc .., пожалуйста, не забивайте их) я должен создать учетную запись администратора домена (обычно называемую чем-то вроде «резервного копирования») и запускать службы из этой учетной записи.

В этой статье я помню, что вы можете создать пользователя-администратора домена "Backup", но не иметь возможности интерактивного входа в систему.

Кто-нибудь из вас помнит такую ​​статью или знает, как ее делать?

Советую создать группу под названием «DenyLogonLocally». Затем убедитесь, что этой группе запрещен вход в систему локально с помощью объекта групповой политики.

Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Права пользователя -> Запретить вход в систему Loccaly

Добавьте в эту группу пользователя резервного копирования и другие учетные записи служб. Вы можете использовать тот же метод с правами пользователя «Запретить вход через службы удаленных рабочих столов» и «Запретить доступ к этому компьютеру из сети».

Советы Джона тоже хороши.

Я помню, как видел такие статьи, но все, что они действительно говорили, слишком много слов, было:

  • Ограничьте доступ к учетной записи. В частности, не делайте их администраторами домена, если есть способ избежать этого.
  • Сделайте учетные данные максимально безопасными. т.е. старайтесь не использовать очевидные имена для учетной записи и убедитесь, что пароли длинные и надежные.
  • Не позволяйте никому получать доступ к учетной записи, если это действительно не нужно, поэтому установите соответствующие разрешения для самой учетной записи.
  • Убедитесь, что соответствующие данные надежно зарегистрированы и защищены. В конце концов, если вы можете их запомнить, у вас либо исключительная память, либо вы не смогли выбрать достаточно надежный пароль.
  • Как и в случае с любой другой важной учетной записью, периодически меняйте пароль.

К сожалению, некоторые системы резервного копирования, такие как BackupExec, требуют, чтобы учетная запись была администратором домена, хотя резервное копирование - это все, что ему действительно нужно. Это просто плохой дизайн, но, конечно, мы, пользователи, не можем его контролировать.

Существует настройка прав пользователя, ограничивающая интерактивный вход. Найдите Локальную политику безопасности и Назначение прав пользователя. Проверьте, прежде чем заходить слишком далеко.

Вы также можете использовать безумно длинный пароль / кодовую фразу, поскольку вам не нужно будет вводить ее очень часто. Это отличный способ укрепить аккаунт.