Удаление автоматически созданных учетных записей NT AUTHORITY и NT SERVICE


8

Поэтому я недавно переместил задания - один фрагмент кода, который я обнаружил в наших скриптах сборки для новых установок SQL Server, приведен ниже.

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT AUTHORITY\SYSTEM' )
    BEGIN
        DROP LOGIN [NT AUTHORITY\SYSTEM];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\SQLWriter' )
    BEGIN
        DROP LOGIN [NT SERVICE\SQLWriter];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\Winmgmt' )
    BEGIN
        DROP LOGIN [NT SERVICE\Winmgmt];
    END
GO

Эти учетные записи создаются в процессе установки SQL Server по умолчанию.

Рекомендуется ли удалять вышеуказанные логины? Есть ли побочные эффекты, которые это может вызвать? Для чего используются эти логины?

Я прочитал Можно ли удалить логины NT SERVICE \ SQLWriter и NT SERVICE \ Winmgmt? но это не достаточно конкретно - я вижу, для чего они нужны, но совсем немного. Им нужен доступ сисадмина? и т.п.

В качестве примера (взято из « Настройка учетных записей и разрешений служб Windows» ):

Локальная система - встроенная учетная запись с очень высокими привилегиями. Он имеет широкие привилегии в локальной системе и действует как компьютер в сети. Фактическое имя учетной записи NT AUTHORITY\SYSTEM.

Как мне это прочитать? Стоит ли оставлять эти «высокие» привилегии?


Смотрите этот предыдущий связанный вопрос . Лично я чувствую, что это то, что должно быть сделано, только если (а) есть некоторая ощутимая выгода от этого и (б) есть доказательство того, что побочные эффекты не повлияют на вас.
Аарон Бертран

Ответы:


2

Перед тем, как понизить голосование, вот официальная документация, на которую вы можете сослаться по уважительной причине, почему эти учетные записи будут написаны в сценарии, как вы видите: STIG Rule SV-53421r2_rule . Эти элементы управления зависят от версии SQL Server, но в более поздних версиях также имеется ряд других элементов управления. Если вы работаете в организации, подпадающей под эти элементы управления, а также придерживающейся некоторых из более строгих правил, таких как отзыв грантов по умолчанию, предоставленных общественной роли, вещи могут довольно быстро усложниться.

Поскольку у меня есть некоторый опыт работы в среде, подпадающей под эти элементы управления, я могу сказать, что вы можете отключить / удалить обе учетные записи NT SERVICE\SQLWriterи NT SERVICE\Winmgmtучетные записи сразу, но вы должны убедиться, что служба SQL Server работает под соответствующей учетной записью службы с достаточным уровнем ОС. разрешения, такие как достаточно заблокированная учетная запись службы домена или, что еще лучше, автономная или групповая учетная запись управляемой службы . Опять же, к разрешениям ОС нужно относиться с осторожностью, так как это может привести к возникновению карточного домика, если вы не проведете достаточное тестирование.

Что касается NT AUTHORITY\SYSTEMучетной записи, это НЕ та учетная запись, которую вы хотите удалить, если собираетесь использовать какие-либо группы доступности. Фактически, STIG SV-93835r1_rule упоминает, что вы должны хранить его только с CONNECT SQLразрешениями, предоставленными по умолчанию. Если у вас есть группа доступности, эта учетная запись также должна иметь следующие дополнительные разрешения:

  • АЛЬТЕР ЛЮБОЙ ГРУППЫ ДОСТУПНОСТИ
  • ПОСМОТРЕТЬ СЕРВЕРНОЕ СОСТОЯНИЕ
  • ВЫПОЛНИТЬ [sys]. [Sp_server_diagnostics]
  • ВЫПОЛНИТЬ ON [sys]. [Sp_availability_group_command_internal]

Эти ограничения могут быть королевской болью, но есть законные причины, по которым вам нужно будет ограничить их использование и наборы разрешений. Если вы не подпадаете под эти рекомендации, сделайте себе одолжение и закомментируйте эти шаги.

Надеюсь, это поможет!

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.