Последствия нарушения безопасности при использовании общих учетных с фоновыми службами

После разрешения использования учетных данных фоновым службам эти учетные данные становятся доступны для всех других администраторов и позволяют использовать компоненты службы Security Controls. Предположим, что администратор A создает учетные данные, разрешает их совместное использование с фоновыми службами, а затем назначает их службе прокси. Администратор B теперь может назначить эти же учетные данные для других областей программы.

Поэтому:

Разрешайте совместное использование с фоновыми службами только для тех учетных данных, которые необходимы компонентам служб Security Controls.
НЕ разрешайте общее использование с фоновыми службами учетных данных, которые позволят получить доступ к защищенным областям вашей организации.

Рекомендуется создать учетную запись служб для для выполнения в фоновом режиме, а не использовать учетную запись администратора.

В дополнение к явно указанным учетным данным ПО Security Controls поддерживает аутентификацию Kerberos для фонового взаимодействия служб с различными ресурсами. Предоставление разрешений учетной записи Domain\Machine$ можно использовать для открытия доступа к общим сетевым ресурсам и серверам распространения в сценариях, где нежелательно или невозможно создать учетную запись службы.

Кроме того, учетные данные общей службы могут быть обновлены в любое время. Это упрощает обновление паролей.