Разрешение доступа LocalSystem к сетевой папке

Question

Разрешение доступа LocalSystem к сетевой папке

Фон

У нас есть служба Windows, работающая под учетной записью LocalSystem, работающей на сервере. У нас есть отдельный сервер с вложениями для нашего приложения, которые могут содержать PHI. Сегодня эта папка вложений недоступна для нашей службы Windows. Мы не можем контролировать сервер или какие приложения установлены на этом сервере.

Что мы хотим сделать

Мы хотим иметь доступ к этой папке вложений из нашей службы Windows.

Наше предлагаемое решение

Мы рассматриваем рекомендацию нашим клиентам предоставить учетной записи LocalSystem доступ к этой папке вложений. Насколько я понимаю, это позволит всем службам получать доступ к этой папке вместе с любыми другими файлами на этом сервере, выдавая себя за учетную запись LocalSystem.

Мои проблемы

Поскольку мы не контролируем этот сервер, на нем будут работать другие приложения, возможно, под учетной записью LocalSystem. Другие приложения могут иметь общедоступные веб-сайты IIS, настроенные с использованием учетной записи LocalSystem (надеюсь, что нет). Дело в том, что я беспокоюсь о том, чтобы порекомендовать что-то, что может привести к непредвиденному доступу к этим документам PHI. Я скорее предпочитаю создание отдельной сетевой учетной записи, но я пытаюсь понять, оправдано ли мое беспокойство по поводу предоставления доступа к учетной записи LocalSystem.

Мой вопрос

Будет ли это считаться плохой практикой? Это открывает нам больше угроз безопасности?

1

security network-share local-system impersonation

Источник

user4484399 03 ноя '16 в 19:28

1 ответ

Решение

Другие вопросы по тегам security network-share local-system impersonation

HEMAN85 03 ноя '16 в 20:00 2016-11-03 20:00 · Accepted Answer · 2016-11-03 20:00

У вас есть два варианта: вы можете создать учетную запись службы просто для доступа к папке вложения (не забудьте настроить службу для работы с этой учетной записью службы) или вы можете использовать сервер (где служба работает под учетной записью LocalSystem) для доступа к папка вложения. Помните, что вам потребуется общий доступ к учетной записи компьютера (на сервере, на котором вы используете LocalSystem) к папке вложения. Обязательно разрешите разрешения для общего файла, если вы используете управление DFS.

Предложения: Если вы хотите повысить безопасность между папкой вложений и сервером LocalService, вы можете:

Установите правило на своем брандмауэре (для управления трафиком между сервером и папкой вложений).
Включите журналы аудита в папке вложений.
Кроме того, если у вас есть хорошая антивирусная программа, вы можете установить правила, разрешающие или запрещающие разрешения для папки с вложениями.