Каковы угрозы безопасности в выполнении службы Windows как “Локальная Система”?
Создайте текстовый файл со строками, Вы хотите ввести в sqlite программу командной строки, как это:
CREATE TABLE log_entry ( ); .separator "\t" .import logfile.log log_entry
и затем просто звонят sqlite3 database.db < commands.txt
3 ответа
Службы, работающие как LocalSystem , являются частью доверенного пространства системы. Технически говоря, у них есть привилегия SeTcbName . Это означает, среди прочего , что такие службы могут изменять любые настройки безопасности, предоставлять себе какие-либо привилегии и вообще делать все, что может делать Windows.
В результате любой недостаток в вашей службе - несанкционированный ввод прошел к системным функциям, пути поиска плохих dll, переполнение буфера, что угодно - становится критической дырой в безопасности. Вот почему ни один системный администратор в корпоративной среде не разрешит установку вашей службы, если она работает под LocalSystem . Используйте учетные записи LocalService и NetworkService .
Для любой службы, которую вы запускаете, или, я полагаю, любого приложения, вы должны разрешить приложению удалять ненужные разрешения, чтобы уменьшить влияние хакеров.
Итак, если служба не нужно записывать в локальный каталог или удалять, а затем удалять это разрешение.
Кроме того, вы можете посмотреть, понадобится ли вам доступ к разделам реестра.
Существуют различные разрешения, которые вы можете удалить, чтобы ограничить ущерб, который можно нанести.
Изменить: Вы можете найти для S2. Службы Windows , чтобы найти дополнительную информацию о рисках, связанных с локальной системой. http://www.sans.org/top20/
Я думаю, что основная проблема заключается в том, что если кто-то обнаружит ошибку безопасности в вашей службе, которая позволяет ему получить доступ к системным ресурсам и / или выполнить код - он получит доступ / выполнить с правами локальной системы (которые такие же, как встроенные в администраторов). Вопрос в том, действительно ли вы уверены, что ваш сервис защищен от взлома? : P