উইন্ডোজ - একটি উইন্ডোজ পরিষেবার জন্য স্থানীয় পরিষেবা এবং / অথবা নেটওয়ার্ক পরিষেবা অ্যাকাউন্ট ব্যবহার করুন

আমি একটি উইন্ডো পরিষেবা তৈরি করেছি যা আমাদের উইন্ডোজ ওএসের একটি নির্দিষ্ট ডিরেক্টরিতে ফাইলগুলি নিরীক্ষণ করে। যখন কোনও ফাইল সনাক্ত হয়, পরিষেবাটি কিছু ফাইল I / O করে, ফাইলগুলি পড়ে, উপ-ডিরেক্টরি তৈরি করে, ইত্যাদি। এই পরিষেবাটি অন্য সার্ভারের সাথে সংযোগের জন্য ডাটাবেস সংযোগও ব্যবহার করে। আমার পরিকল্পনাটি পরিষেবাটি ডিফল্ট "স্থানীয় পরিষেবা" অ্যাকাউন্ট হিসাবে চালানো হবে। যেহেতু আমাকে লেখার / পড়ার সুযোগ দেওয়ার দরকার আছে, যা সম্ভবত "লোকাল সার্ভিস" অ্যাকাউন্টটি ডিফল্টরূপে করে না, তাই আমি যে ফোল্ডারে আছি সেগুলিতে "লোকাল সার্ভিস" অ্যাকাউন্টের জন্য স্পষ্টভাবে "সম্পূর্ণ নিয়ন্ত্রণ" সুবিধাদি সেট করতে যাচ্ছি পড়তে / লিখতে এবং থেকে।

আমি বিশ্বাস করি উপরোক্ত একটি ভাল। আমার প্রশ্ন হ'ল যে ফোল্ডারে আমি পড়ছি এবং লিখছি তার জন্য আমার কি সম্পূর্ণ নিয়ন্ত্রণ অ্যাক্সেসের সাথে "নেটওয়ার্ক পরিষেবা" ভূমিকা সেটআপ করা দরকার? আমি ভাবছি যেহেতু আমার পরিষেবাটি অন্য সার্ভারের সাথে ডাটাবেস সংযোগ ব্যবহার করে, যদি আমার "নেটওয়ার্ক পরিষেবা" অ্যাকাউন্ট সেটআপের প্রয়োজন হয়।

"নেটওয়ার্ক সার্ভিস" অ্যাকাউন্টটি কী করে তা আমি ভুল বুঝে চলেছি।

NT AUTHORITY\NetworkServiceঅ্যাকাউন্ট শুধুমাত্র প্রয়োজন যখন আপনি একটি ডোমেনের অন্য কম্পিউটার প্রবেশাধিকার নিয়ন্ত্রণ জন্য আপনার মেশিনের পরিচয়পত্র প্রয়োজন সাথে যোগাযোগ করছি করা হয়। এটি সহজ ইন্টারনেট / নেটওয়ার্ক অ্যাক্সেসের জন্য প্রয়োজন হয় না। এটি কেবলমাত্র সক্রিয় ডিরেক্টরি ডোমেনে নির্দিষ্ট উদ্দেশ্যে প্রয়োজন।

এছাড়াও NT AUTHORITY\LocalServiceঅ্যাকাউন্টের পুরো বিষয়টি হ'ল এটির সিস্টেমে সর্বনিম্ন সুবিধা রয়েছে। এটিকে আরও সুবিধামত প্রদান করা আপনার সিস্টেমে প্রচলিত পরিষেবাগুলির নিরাপত্তা হ্রাস করে যা এটি সুবিধার্থে ডিজাইন করা হয়েছিল স্বল্প সুযোগ সুবিধার স্তরে চালানোর জন্য। যদি আপনার পরিষেবাটির উপরে এবং তার বাইরেও সুবিধাগুলি প্রয়োজন হয় তবে আপনার প্রয়োজনীয় সুযোগ-সুবিধাসমূহের জন্য এটির জন্য একটি নতুন অ্যাকাউন্ট তৈরি করা উচিত এবং সেবার পরিষেবার বৈশিষ্ট্যগুলির লগ অন ট্যাবে সেই অ্যাকাউন্টটি সেট করা উচিত। (এটি প্রোগ্র্যাম্যাটিকভাবেও করা যেতে পারে))

আপনি এটি NT AUTORITY\LocalSystemঅ্যাকাউন্টটি ব্যবহার করেও চালাতে পারতেন , এতে আপনার সিস্টেমে সীমাহীন অ্যাক্সেস রয়েছে, তবে আমি ধরে নিই যে আপনি যে LocalServiceঅ্যাকাউন্টটি সরবরাহ করেন সেটির জন্য আপনি অ্যাকাউন্টটি ব্যবহার করতে চেয়েছিলেন ।

পূর্ববর্তী উত্তরগুলি প্রশ্নগুলির সরাসরি সমাধান করতে উপস্থিত হয়নি, তাই আমি ভেবেছিলাম যে আমি এটিতে যুক্ত করব।

1. আমার পরিকল্পনাটি পরিষেবাটি ডিফল্ট "স্থানীয় পরিষেবা" অ্যাকাউন্ট হিসাবে চালানো হবে। আমি যে ফোল্ডারে পড়ছি / লিখছি সেটিতে "লোকাল সার্ভিস" অ্যাকাউন্টের জন্য স্পষ্টভাবে "সম্পূর্ণ নিয়ন্ত্রণ" সুবিধাগুলি সেট করতে চলেছি। আমি বিশ্বাস করি যে উপরেরটি একটি ভাল পরিকল্পনা।

ব্যক্তিগতভাবে, আমি এই পরিকল্পনাটি নিয়ে কোনও বড় সমস্যা দেখতে পাচ্ছি না। বিল্টিনগুলির সাথে, পছন্দটি এর মধ্যে রয়েছে:

1. LOCALSYSTEM হিসাবে চলছে - সুতরাং যদি এই পরিষেবাটি আপস করা হয় তবে আক্রমণকারী সমস্ত কিছু এবং অবিলম্বে মালিকানাধীন ।
2. LOCALSERVICE হিসাবে চলছে - সুতরাং এই পরিষেবাটি, বা এই অ্যাকাউন্টের অধীনে চলমান আরও অনেক পরিষেবাগুলির যদি আপোষ করা হয়, আক্রমণকারীটির একটি অতিরিক্ত ডিরেক্টরিতে অ্যাক্সেস রয়েছে *

তর্কযুক্তভাবে, দ্বিতীয় বিকল্পটি ব্যবহার করতে সক্ষম হতে কয়েকটি অতিরিক্ত এসিএল যুক্ত করা ভাল। হ্যাঁ, স্বল্প সুযোগ-সুবিধার তবে অত্যন্ত সুরক্ষা-সংবেদনশীল পরিষেবার জন্য সবচেয়ে নিরাপদ বিকল্পটি কাস্টম অনুসারে, স্বল্প সুবিধাযুক্ত পরিষেবা অ্যাকাউন্টের অধীনে চালানো হবে। তবে আপনি যদি নিযুক্ত প্রতিটি পরিষেবার জন্য একটি নতুন অ্যাকাউন্ট তৈরি করতে / পাসওয়ার্ড পরিচালনা করতে না চান তবে ছোটখাটো অ-সংবেদনশীল কাজের জন্য লোকাল সার্ভিস ব্যবহার করা কোনও ভয়াবহ বিষয় নয়। আপনাকে কেবল এই বিবেচনার ভিত্তিতে একটি দায়িত্বশীল সিদ্ধান্ত নিতে হবে, যেমন ডিরেক্টরিতে বা ডিটাবেসে কী রয়েছে, যদি সেগুলি লঙ্ঘিত হয় তবে তার প্রভাব ইত্যাদি like

যদিও কমপক্ষে সুবিধাপ্রাপ্তির নীতিটি, তবে আপনার যদি কেবলমাত্র পর্যাপ্ত পরিমাণ না Full Controlথাকে তবেই সেট করা উচিত Modify।

২. আমার প্রশ্ন হ'ল যে ফোল্ডারে আমি পড়ছি এবং লিখছি তার জন্য আমার কি সম্পূর্ণ নিয়ন্ত্রণ অ্যাক্সেসের সাথে "নেটওয়ার্ক পরিষেবা" ভূমিকা সেটআপ করা দরকার? আমি ভাবছি যেহেতু আমার পরিষেবাটি অন্য সার্ভারের সাথে ডাটাবেস সংযোগ ব্যবহার করে, যদি আমার "নেটওয়ার্ক পরিষেবা" অ্যাকাউন্ট সেটআপের প্রয়োজন হয়।

যদি আপনার ডাটাবেসের জন্য উইন্ডোজ ইন্টিগ্রেটেড / এসএসপিআই লগইন প্রয়োজন হয়, তবে হ্যাঁ, আপনার যে কোনও জায়গায় নেটওয়ার্ক সার্ভিস (বা একটি ডোমেন পরিষেবা অ্যাকাউন্ট) ব্যবহার করা দরকার, অর্থাত্, রানএ এবং ডিরেক্টরি অনুমতি রয়েছে। ধরে নিই যে আপনি এই তথ্যভাণ্ডারে আপনার কম্পিউটার ame বা ডোমেন অ্যাকাউন্ট অ্যাক্সেসও দিয়েছেন। আমি সন্দেহ করি আপনি এটি করছেন, সুতরাং এটি যদি সাধারণ ব্যবহারকারীর নাম / পিডাব্লুডি প্রমাণীকরণ ব্যবহার করে তবে আপনার লোকাল সার্ভিস সহ সমস্ত কিছু করতে সক্ষম হওয়া উচিত। আপনাকে সেই ডিরেক্টরিতে কেবল একটি অ্যাকাউন্ট অধিকার প্রদান করতে হবে, আপনি উভয়ই রানঅনে ব্যবহার করেন না, উভয়ই।

৩. "নেটওয়ার্ক সার্ভিস" অ্যাকাউন্টটি কী করে তা আমি ভুল বুঝে চলেছি।

LocalService / NETWORKSERVICE কম্পিউটারে প্রায় অনুরূপ অ্যাকাউন্ট নেই। পার্থক্যটি হ'ল তারা নেটওয়ার্কে কী করতে পারে। এনএস কিছু নেটওয়ার্ক সংস্থান অ্যাক্সেস করতে পারে কারণ এটি নেটওয়ার্কে একটি বাস্তব (কম্পিউটার) অ্যাকাউন্ট হিসাবে উপস্থিত হয়। তবে এলএস অস্বীকৃত হিসাবে উপস্থিত হবে, তাই এটি নেটওয়ার্কের বেশিরভাগ ক্ষেত্রেই অস্বীকার করা হবে।

যাইহোক, আপনার জন্য একটি নির্ধারিত টাস্ক ব্যবহার করা উচিত, কোনও পরিষেবা নয়।

* ভিস্তার পরে, পরিষেবা বিচ্ছিন্নতার কারণে , একটি আপোস করা লোকাল সার্ভিস প্রক্রিয়া সহজেই অন্যটিতে আক্রমণ করতে পারে না। প্রতিটি লোকাল সার্ভিস / নেটওয়ার্ক সার্ভিস পরিষেবাদি প্রক্রিয়া / উদাহরণ উইন্ডোজ 2003 এর বিপরীতে নিজস্ব অনন্য লগন সেশন এসআইডি (অনন্য মালিক) পায় But তবে আমি নিশ্চিত নই যে এটি নিখুঁত এবং ফাইল এবং সংস্থানগুলিতে DACL দুর্বলতা সম্পূর্ণরূপে প্রশমিত করে। সীমাবদ্ধ এসআইডি এবং রাইটিং -সীমাবদ্ধ টোকেনগুলি এই প্রসঙ্গে উল্লেখ করা হয়েছে।

অন্যান্য উত্তরগুলি স্থানীয় পরিষেবা ব্যবহারের বিষয়ে আপনি যা বলেছেন তা নিশ্চিত করে। সংক্ষিপ্তসার হিসাবে, স্থানীয় পরিষেবাটি আপনার পরিষেবার সাথে ব্যবহার করার জন্য প্রস্তাবিত অ্যাকাউন্ট, যদি না আপনার নেটওয়ার্ক পরিষেবাদির অতিরিক্ত অ্যাক্টিভ ডিরেক্টরি এসএসপিআই বৈশিষ্ট্য প্রয়োজন।

নির্দিষ্ট ফোল্ডারে পড়ার / লেখার অ্যাক্সেসকে সীমাবদ্ধ করার জন্য, আপনি জেনেরিক স্থানীয় পরিষেবা অ্যাকাউন্টে অ্যাক্সেস দেওয়ার চেয়ে আরও ভাল করতে পারেন। সমস্যা যেমন অন্যরা উল্লেখ করেছে, এটি হ'ল এটি স্থানীয় পরিষেবা হিসাবে চলমান অন্যান্য সমস্ত পরিষেবাগুলিতে পঠন / লেখার অ্যাক্সেসও দিতে পারে এবং যদি সমস্ত পরিষেবা এটি করে থাকে তবে ধীরে ধীরে লোকাল সার্ভিস আরও এবং আরও গুরুত্বপূর্ণ সংস্থানগুলিতে অ্যাক্সেস পাবে।

সমাধানটি হ'ল পরিবর্তে আপনার নির্দিষ্ট পরিষেবা এসআইডি ব্যবহার করে আপনার ফোল্ডারটি এসিএল করুন। কেবলমাত্র আপনার নিজস্ব পরিষেবা প্রক্রিয়াতে এটির সাথে আপনার পরিষেবা এসআইডি যুক্ত রয়েছে, সুতরাং এটি আপনার সংস্থানটিকে আরও লক করে রাখে। আপনি পরিষেবাটি এসআইডি ব্যবহার করে দেখতে পারেন sc showsid <service name>। পরিষেবা এসআইডি পরিষেবার নাম থেকে উত্পন্ন হয়, তাই এটি সমস্ত মেশিনে একই হবে।

আপনার সেবা দ্বারা সেবা জন্য SID ব্যবহার সক্রিয় করার জন্য, ব্যবহার ChangeServiceConfig2সঙ্গে SERVICE_SID_INFOসেট গঠন SERVICE_SID_TYPE_UNRESTRICTED। আপনি SERVICE_SID_TYPE_RESTRICTEDএমনকি আরও বিধিনিষেধযুক্ত এসআইডি পেতে সেট করতে পারেন যা কেবলমাত্র আপনার পরিষেবা এসআইডি দিয়ে স্পষ্টভাবে অনুমোদিত সংস্থানগুলিতে লেখার অ্যাক্সেসের অনুমতি দেয়।

এই লিঙ্কটিতে পরিষেবা এসআইডি এবং সীমাবদ্ধ পরিষেবা এসআইডিগুলির উচ্চ স্তরের বিবরণ রয়েছে: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and- 2008 / hh125927 (উ = ws.10)