পূর্ববর্তী উত্তরগুলি প্রশ্নগুলির সরাসরি সমাধান করতে উপস্থিত হয়নি, তাই আমি ভেবেছিলাম যে আমি এটিতে যুক্ত করব।
- আমার পরিকল্পনাটি পরিষেবাটি ডিফল্ট "স্থানীয় পরিষেবা" অ্যাকাউন্ট হিসাবে চালানো হবে। আমি যে ফোল্ডারে পড়ছি / লিখছি সেটিতে "লোকাল সার্ভিস" অ্যাকাউন্টের জন্য স্পষ্টভাবে "সম্পূর্ণ নিয়ন্ত্রণ" সুবিধাগুলি সেট করতে চলেছি। আমি বিশ্বাস করি যে উপরেরটি একটি ভাল পরিকল্পনা।
ব্যক্তিগতভাবে, আমি এই পরিকল্পনাটি নিয়ে কোনও বড় সমস্যা দেখতে পাচ্ছি না। বিল্টিনগুলির সাথে, পছন্দটি এর মধ্যে রয়েছে:
- LOCALSYSTEM হিসাবে চলছে - সুতরাং যদি এই পরিষেবাটি আপস করা হয় তবে আক্রমণকারী সমস্ত কিছু এবং অবিলম্বে মালিকানাধীন ।
- LOCALSERVICE হিসাবে চলছে - সুতরাং এই পরিষেবাটি, বা এই অ্যাকাউন্টের অধীনে চলমান আরও অনেক পরিষেবাগুলির যদি আপোষ করা হয়, আক্রমণকারীটির একটি অতিরিক্ত ডিরেক্টরিতে অ্যাক্সেস রয়েছে *
তর্কযুক্তভাবে, দ্বিতীয় বিকল্পটি ব্যবহার করতে সক্ষম হতে কয়েকটি অতিরিক্ত এসিএল যুক্ত করা ভাল। হ্যাঁ, স্বল্প সুযোগ-সুবিধার তবে অত্যন্ত সুরক্ষা-সংবেদনশীল পরিষেবার জন্য সবচেয়ে নিরাপদ বিকল্পটি কাস্টম অনুসারে, স্বল্প সুবিধাযুক্ত পরিষেবা অ্যাকাউন্টের অধীনে চালানো হবে। তবে আপনি যদি নিযুক্ত প্রতিটি পরিষেবার জন্য একটি নতুন অ্যাকাউন্ট তৈরি করতে / পাসওয়ার্ড পরিচালনা করতে না চান তবে ছোটখাটো অ-সংবেদনশীল কাজের জন্য লোকাল সার্ভিস ব্যবহার করা কোনও ভয়াবহ বিষয় নয়। আপনাকে কেবল এই বিবেচনার ভিত্তিতে একটি দায়িত্বশীল সিদ্ধান্ত নিতে হবে, যেমন ডিরেক্টরিতে বা ডিটাবেসে কী রয়েছে, যদি সেগুলি লঙ্ঘিত হয় তবে তার প্রভাব ইত্যাদি like
যদিও কমপক্ষে সুবিধাপ্রাপ্তির নীতিটি, তবে আপনার যদি কেবলমাত্র পর্যাপ্ত পরিমাণ না Full Control
থাকে তবেই সেট করা উচিত Modify
।
২. আমার প্রশ্ন হ'ল যে ফোল্ডারে আমি পড়ছি এবং লিখছি তার জন্য আমার কি সম্পূর্ণ নিয়ন্ত্রণ অ্যাক্সেসের সাথে "নেটওয়ার্ক পরিষেবা" ভূমিকা সেটআপ করা দরকার? আমি ভাবছি যেহেতু আমার পরিষেবাটি অন্য সার্ভারের সাথে ডাটাবেস সংযোগ ব্যবহার করে, যদি আমার "নেটওয়ার্ক পরিষেবা" অ্যাকাউন্ট সেটআপের প্রয়োজন হয়।
যদি আপনার ডাটাবেসের জন্য উইন্ডোজ ইন্টিগ্রেটেড / এসএসপিআই লগইন প্রয়োজন হয়, তবে হ্যাঁ, আপনার যে কোনও জায়গায় নেটওয়ার্ক সার্ভিস (বা একটি ডোমেন পরিষেবা অ্যাকাউন্ট) ব্যবহার করা দরকার, অর্থাত্, রানএ এবং ডিরেক্টরি অনুমতি রয়েছে। ধরে নিই যে আপনি এই তথ্যভাণ্ডারে আপনার কম্পিউটার ame বা ডোমেন অ্যাকাউন্ট অ্যাক্সেসও দিয়েছেন। আমি সন্দেহ করি আপনি এটি করছেন, সুতরাং এটি যদি সাধারণ ব্যবহারকারীর নাম / পিডাব্লুডি প্রমাণীকরণ ব্যবহার করে তবে আপনার লোকাল সার্ভিস সহ সমস্ত কিছু করতে সক্ষম হওয়া উচিত। আপনাকে সেই ডিরেক্টরিতে কেবল একটি অ্যাকাউন্ট অধিকার প্রদান করতে হবে, আপনি উভয়ই রানঅনে ব্যবহার করেন না, উভয়ই।
৩. "নেটওয়ার্ক সার্ভিস" অ্যাকাউন্টটি কী করে তা আমি ভুল বুঝে চলেছি।
LocalService / NETWORKSERVICE কম্পিউটারে প্রায় অনুরূপ অ্যাকাউন্ট নেই। পার্থক্যটি হ'ল তারা নেটওয়ার্কে কী করতে পারে। এনএস কিছু নেটওয়ার্ক সংস্থান অ্যাক্সেস করতে পারে কারণ এটি নেটওয়ার্কে একটি বাস্তব (কম্পিউটার) অ্যাকাউন্ট হিসাবে উপস্থিত হয়। তবে এলএস অস্বীকৃত হিসাবে উপস্থিত হবে, তাই এটি নেটওয়ার্কের বেশিরভাগ ক্ষেত্রেই অস্বীকার করা হবে।
যাইহোক, আপনার জন্য একটি নির্ধারিত টাস্ক ব্যবহার করা উচিত, কোনও পরিষেবা নয়।
* ভিস্তার পরে, পরিষেবা বিচ্ছিন্নতার কারণে , একটি আপোস করা লোকাল সার্ভিস প্রক্রিয়া সহজেই অন্যটিতে আক্রমণ করতে পারে না। প্রতিটি লোকাল সার্ভিস / নেটওয়ার্ক সার্ভিস পরিষেবাদি প্রক্রিয়া / উদাহরণ উইন্ডোজ 2003 এর বিপরীতে নিজস্ব অনন্য লগন সেশন এসআইডি (অনন্য মালিক) পায় But তবে আমি নিশ্চিত নই যে এটি নিখুঁত এবং ফাইল এবং সংস্থানগুলিতে DACL দুর্বলতা সম্পূর্ণরূপে প্রশমিত করে। সীমাবদ্ধ এসআইডি এবং রাইটিং -সীমাবদ্ধ টোকেনগুলি এই প্রসঙ্গে উল্লেখ করা হয়েছে।