为什么在 Windows 上将服务作为本地系统运行不好？

Question

我正在尝试找出不同服务帐户类型之间的区别。我偶然发现了这个问题。

答案是因为它对本地资源的访问能力很强，如果可能的话应该使用网络服务。

但我仍然无法理解，如果它具有强大的本地资源访问权限，那么攻击者如何访问该帐户？有哪些方法可以破坏帐户？我明白这都是关于安全的，但我不知道如何。这可能是黑暗黑客的世界，但是任何人都可以简单地解释为什么网络服务帐户优于本地帐户？

提前致谢。

Answer 1

您运行的每个程序都会增加服务器的攻击面。

您必须假设一个坚定的恶意行为者可以利用您程序中的错误或漏洞使其做任何事情。您可以通过以执行工作所需的最低权限来执行程序来缓解这种情况。

其中一些漏洞包括：

• Luring attacks，其中攻击者诱骗您的程序在程序提升的权限下执行其代码。

• Buffer Overrun Attacks，其中发送到方法的额外数据写入相邻内存，可能是控制流逻辑的目标。

• Man in the Middle attacks，攻击者向您的程序伪造消息。

通常，给定的服务显然不会受到任何这些的影响。在网络服务（或其他权限减少的帐户）下运行是一种“比后悔更安全”的策略，它承认软件开发的两个重要事实：程序员容易犯错，攻击者有创造力。

Answer 2

LocalSystem 帐户是 *nix root 帐户的 Windows 等效项。它甚至比管理员帐户更有特权。当您作为 LocalSystem 运行时，您可以完全访问机器上的每个资源。

正如其他人所写的那样，您应该编写代码以尽可能少的权限运行。

LocalService 和 NetworkService 之间的主要区别在于，作为 NetworkService 运行的服务能够对域中的其他机器进行身份验证（我相信是机器帐户）。

请注意，LocalService 和 NetworkService 帐户都具有“模拟”特权，这是一个潜在的危险特权 - 它允许服务模拟调用服务的用户。如果该用户是管理员，那么即使您的代码在低权限服务中运行，它也可以执行管理员所做的任何事情。如果攻击者可以利用您的最低权限服务中的缓冲区溢出，他们可以挂接您用来模拟您的调用者的 API，并等待高权限调用者调用您的服务。这种技术被称为“令牌绑架”，MSRC has a great blog post 描述了该问题（并包含描述如何减轻与使用 LocalService 和 NetworkService 帐户相关的许多其他风险的链接）。

Answer 3

本地帐户在本地计算机上实际上拥有完全的管理权限。因此，任何可能从缓冲区溢出中逃脱并自行执行的代码都有很大的破坏范围。

另一方面，网络服务帐户默认只有访客级别访问本地系统。因此，即使攻击者设法找到在服务中发送和执行代码的方法，该代码的访问权限也会受到限制。

Answer 4

如果您的服务存在漏洞，攻击者可以执行任意代码（如缓冲区溢出），如果服务在本地系统帐户下运行，他可以对您的计算机进行任何操作，相当于管理员帐户。因此，您的服务运行的特权帐户越少，攻击者获得的特权就越少。

Answer 5

最简单的场景是服务允许服务的用户在命令行上执行一些代码。例如，MS SQL Server 有一个存储过程，允许您运行“命令行”命令（即运行程序）。