Windows serviceaccount aanmaken zonder NTFS permissies*

Dat laatste, een user heeft op zoveel directories lees/schrijf rechten nodig...

Denk aan:
temp, windows, users, etc. etc.

Dat kun je niet zelf regelen...

Edit:
Als jij je rechten secuur uitdeelt, kan een apache user account, in principe, weinig schadelijks toe brengen aan je systeem

[ Voor 29% gewijzigd door Mike2k op 23-08-2012 13:39 ]

Ik begrijp niet goed het probleem, als je een nieuwe gebruiker aanmaakt is hij standaard lid van "Users". Maar je kan deze membership toch gewoon verwijderen?

Desnoods kan je een nieuwe group aanmaken en de gebruiker hier inzetten.

Zoals Mike2k echter al aangeeft, het zal een beetje sleutelen worden, want een applicatie heeft vaak rechten nodig op %temp%, %windir%, registry, policies, etc. Maar dit is allemaal niet onoverkomelijk, ik vind het zelfs leerrijk. Van 0 beginnen en dan uitvissen wat de minimum rechten zijn die nodig zijn voor de werking van een service. Het enige wat je nodig hebt is een programma zoals Process Monitor. Dit geeft haarfijn aan wat elk process allemaal doet en wat er wel en niet lukt.

Maar eigenlijk is het vanaf Windows 7 / Windows 2008R2 echt wel aan te raden om IIS te gebruiken ipv Apache. De security is nu veel beter geregeld. Ik kan eerlijk gezegd geen enkele reden meer bedenken waarom ik op Windows Apache zou moeten verkiezen boven IIS.

Succes

Kapitein Iglo schreef op donderdag 23 augustus 2012 @ 13:35:


Echter is het zo dat als ik een 'normale' user aanmaak via Local Users and Groups in windows 2008 r2 deze standaard van de groep "users" alle NTFS rechten overneemt van de groep, ook als ik de user wwwuser de groep "users" ontneem (en weer opnieuw in en uitlog).

En dan?
Ik bedoel: een security principal op een Windows systeem heeft een profile dir.
Zelfs NT Authority\local system, evenals network service.

Voor een standaard account zonder extra rechten is een profile dir de enige plek waar die in kan krassen.
Zodra deze account als een service account wordt geconfigureerd heb je met alle Windows smaakjes naXP/2003 het voordeel dat die gelijk in Sessie0 terecht komt - zolang je het maar uit je hoofd laat om die serviceaccount 'interact with the desktop' te geven is ie dan netjes afgegrendeld.

En een applicatieserver richt je doorgaans volgens common security practices zodanig in dat je die account zijn werk (applicatieve files) alleen op non-system volumes laat doen.

Kortom: je hebt een serviceaccount met minimal rights, wat wil je dit systeem nog meer laten doen, en vooral waar (paden, volumes)?

[ Voor 5% gewijzigd door alt-92 op 25-08-2012 17:39 ]