Se trata de la configuración segura de los servicios de Windows. Me he dado cuenta muchas veces de que los desarrolladores de software, cuando diseñan software para la plataforma Windows, no pasan suficiente tiempo con el principio de privilegio mínimo. Debido a que es tan fácil y rápido, instalan sus servicios para que se ejecuten como SISTEMA LOCAL, aunque los privilegios más bajos funcionarán bien, por ejemplo, el acceso al sistema de archivos y el registro para binarios y configuración y acceso a la red para aceptar conexiones entrantes y conectarse a una base de datos . En Windows, hay, sin embargo, los usuarios LOCAL SERVICE y NETWORK SERVICE.
Aquí está mi pregunta: ¿Puedo ejecutar un servidor simple (como se describe anteriormente, acceso al sistema de archivos / registro, acceso a la red) como SERVICIO DE RED? ¿Son estos 2 usuarios proporcionados por MS para tal situación? ¿O como desarrollador debo investigar cada vez qué privilegios son necesarios incluso si mi servicio no hace nada extraordinario? Si por ejemplo El SERVICIO DE RED no es suficiente, ¿qué herramientas tendría que usar para crear un usuario y seguir el principio de privilegio mínimo?
Me parece extremadamente relevante. Si logra inyectar código en una aplicación php que se ejecuta en apache como www-data, todavía necesita una escalada de privilegios tediosa para comprometer completamente la máquina. En Linux, este problema en particular se resuelve mucho mejor por defecto.