Вопрос или проблема
Недавно наш SOC применил политику безопасности на наших серверах, которая не позволяет добавлять пользователей к настройке “Заменить токен уровня процесса” в “Назначении прав пользователей” в локальной политике безопасности. Только пользователи “Local Service” и “Network Service” присутствуют там. Это привело к тому, что наш SQL Server Agent не смог запустить большинство задач (включая пакеты SSIS и скрипты PowerShell). Мне пришлось изменить пользователя службы как для службы SQL Server, так и для службы SQL Server Agent на “NT AUTHORITY\Network Service” с их учетных записей, специфичных для службы по умолчанию. Теперь я хочу знать, что более безопасно? Предотвращение добавления пользователей в политику безопасности или запуск служб под учетной записью “Network Service”?
Ответ или решение
Сравнение между сервисными учетными записями и учетной записью Network Service: безопасность и практичность
В условиях, когда ваш центр обработки угроз (SOC) внедрил политику безопасности, ограничивающую настройки локальной безопасности, важно тщательно рассмотреть, какую учетную запись использовать для служб. В вашем случае переход от специфических для служб учетных записей к "NT AUTHORITY\Network Service" может создать ряд вопросов касательно безопасности и эффективности.
Понимание учетных записей служб
Сервисные учетные записи vs Network Service
Службы в Windows, как правило, запускаются с использованием специальных учетных записей, которые предназначены для предоставления необходимых прав и привилегий при выполнении системных задач. Две распространенные учетные записи, используемые для запуска служб, – это сервисные учетные записи (например, для SQL Server) и "Network Service".
-
Сервисные учетные записи:
- Специально созданы для служб, например, SQL Server.
- Обладают минимально необходимыми правами для выполнения своих функций.
- Исходные настройки могут быть подобраны для оптимизации безопасности и производительности.
-
Учетная запись Network Service:
- Это встроенная учетная запись, что позволяет системе запускать службы при ограниченных правах.
- Она обладает доступом к сетевым ресурсам с идентификацией компьютера, но не позволяет аутентифицироваться как отдельный пользователь.
- Рекомендуется использовать для служб, которым необходим доступ к удаленным ресурсам, но с минимальными правами.
Безопасность и ограничения
Преимущества ограничения добавления пользователей
Запрет на добавление пользователей к политике "Заменить токен уровня процесса" является важным шагом в направлении повышения безопасности. Эта политика предотвращает возможность выполнения небезопасных или непроверенных процессов от имени сервисов, что минимизирует потенциальные векторы атаки.
Недостатки использования Network Service
Хотя "Network Service" предоставляет некоторые преимущества, важно учитывать недостатки:
- Расширенный доступ к сетевым ресурсам может увеличить риск атаки, если служба скомпрометирована.
- Недостаток контроля над индивидуальными правами и доступом служб может привести к ситуации, когда скомпрометированные учетные записи могут использоваться для атаки на другие сервисы или сети.
Устойчивость и производительность служб
Оптимизация производительности
Переключение службы SQL Server на "Network Service" может нарушить функциональность или производительность, особенно если ваша инфраструктура требует специфичных для сервиса разрешений. Это может привести к неудачам выполнения заданий, как в случае с вашими задачами SQL Server Agent.
Заключение
На основе вышесказанного, выбор между ограничением добавления пользователей к политике безопасности и использованием учетной записи "Network Service" зависит от вашего специфического контекста и необходимой безопасности.
-
Состояние безопасности: Запрет добавления пользователей в политику "Заменить токен уровня процесса" обеспечивает более высокий уровень безопасности, но может затруднить управление службами.
-
Выбор оптимального решения: Если ваши службы нуждаются в полном доступе к ресурсам и за пределами системы, то "Network Service" может быть удобным, но следует тщательно контролировать риски.
В итоге, для достижения оптимального сочетания безопасности и производительности, рекомендуется рассмотреть использование управляемых учетных записей служб, которые могут быть настроены для предоставления необходимых прав без использования менее безопасных учетных записей, таких как "Network Service".