Из этой статьи вы узнаете про ещё один компонент безопасности операционной системы Windows, а именно про виртуальные учетные записи для запуска служб.
Основы
Без этого механизма службы запускались от имени специальных учетных записей Local Service или Network Service. Или могли использовать обычные локальные или доменные учетки.
Однако первое не обеспечивало полной изоляции, ведь службы запущенные от имени одной учетной записи имеют почти одинаковые права и привилегии.
А создавать для каждой службы обычную локальную учетную запись тоже не правильно. Ведь для обычной учетки нужно задать пароль, периодически его менять и где-то хранить.
В итоге разработчики Microsoft придумали виртуальные учетные записи, которые они впервые внедрили в Windows Server 2008 R2 и Windows 7.
При использовании виртуальных учеток каждая служба запускается под своей собственной учетной записью. Это значит, что и со своим собственным SID. Имя такой учетной записи всегда начинается с префикса NT SERVICE\, за которым следует имя службы.
Виртуальные учетки имеют некоторые отличия от обычных:
- они не могут быть созданы или удалены с использованием обычных инструментов управления;
- они не могут входить в группы;
- система автоматически устанавливает и периодически изменяет пароль для такой учетной записи службы, при этом пароль не известен системным администраторам.
Также про эти учетки вы можете почитать на сайте miсrosoft.
Виртуальную учетную запись может создать администратор для любой службы в системе. Главное, затем нужно дать необходимые права для созданной учетки, чтобы служба смогла работать. А разработчики могут использовать в своём приложении специальное API для динамического создания и использования виртуальных учётных записей.
При перезапуске службы виртуальная учётная запись пересоздается. Таким образом к ней невозможно подобрать пароль.
Виртуальные учетные записи на практике
Теперь разберёмся, как использовать виртуальные учетки. Так как они предназначены для служб, то нужно открыть оснастку «Службы«:
Затем откройте свойства службы для которой вы хотите создать виртуальную учетную запись и перейдите на вкладку «Вход в систему«. Переключите флажок на «С учетной записью» и введите NT SERVICE\<имя службы>, затем удалите оба пароля:
После чего примените изменения и перезапустите службу.
Я выше изменил службу «TeamViewer«, теперь она работает от имени «NT SERVICE\TeamViewer» и такой пользователь появился в системе. Его теперь можно использовать при назначении прав к файлам и каталогам. Только нужно не забывать что это локальная учетная запись, а не доменная.
Ниже на рисунке я показываю как можно разрешить доступ к файлу для созданной учетной записи TeamViewer:
