запускать как "NT AUTHORITY\SYSTEM" идеально для запланированных задач?

Question

У меня есть процесс резервного копирования / автообновления для моего программного обеспечения, и обычно я создаю нового пользователя для запуска его в планировщике задач (у большинства пользователей нет пароля, и планировщик задач нуждается в нем, не знаю почему).

Затем я увидел, что Google Chrome устанавливает задачу автоматического обновления для запуска с именем «NT AUTHORITY\SYSTEM», я протестировал его, и он прекрасно работает с моими программами, и выглядит более чистым,

Есть какие-то скрытые недостатки здесь я не вижу?

Спасибо!

Answer 1

Моя рекомендация

Для одного компьютера самый простой способ - создать учетную запись в группе « Операторы резервного копирования Builtin».

Есть два крупных недостатка, которые изначально приходят на ум при запуске программ под SYSTEM.

Безопасность

Почти всегда основной причиной, по которой администраторы создают скрытые учетные записи для запланированных процессов, является их мониторинг и предоставление им доступа, который обычно не предоставляется типичному запущенному приложению. В этом случае ему нужен доступ на чтение ко всем файлам, а также доступ на запись в ваше хранилище резервных копий, что позже приведет к более строгому доступу.

Любая программа, которая запускается как SYSTEM, означает более или менее запускать их от имени администратора, что дает ей больше привилегий, чем нужно. По этой причине существует встроенная группа операторов резервного копирования.

UAC

Учетная запись SYSTEM иногда ошибочно принимается пользователями как суперпользователь или учетная запись root . Это ни то, ни другое. Он используется внутри Windows. Он никогда не предназначался для использования программами, если это не указано в программе. Тем не менее, есть неизвестные ошибки, которые появляются, если запущена программа, не предназначенная для учетной записи SYSTEM . Например, обратите внимание, что для него нет пароля пользователя. На самом деле это не учетная запись пользователя, если вы пытаетесь аутентифицироваться на ней удаленно.

---

Кроме того, UAC также наносит ущерб программам, работающим в контексте SYSTEM. Я видел, как плохо написанные программы сразу поднимали диалоговое окно с просьбой «запустить от имени администратора». Пойди разберись.

Также есть сообщение в блоге MSDN, которое напоминает, что я не могу обнаружить, что автор потратил целый день на отладку SQL Server на компьютере клиента. Свежая установка. , , или так они думали. Оказывается, определенный компонент самой ОС был переключен с NT AUTHORITY\NETWORK SERVICE на SYSTEM под тем предлогом, что он имел больше разрешений и привилегий, чем любая другая учетная запись. Скорее, это просто разные.