Apache sebagai layanan pada Windows, masalah keamanan?


2

TL; DR

Untuk Apache sebagai layanan di Windows: apakah memberi pengguna domain yang digunakan untuk menjalankan Apache sebagai layanan dan memberi mereka hak istimewa Bertindak sebagai bagian dari sistem operasi merupakan masalah keamanan? Situs web Apache merekomendasikan ini. Jika ini masalah keamanan, apa yang harus saya lakukan?


Saya mengatur Apache 2.4 64-bit pada Windows Server 2008 .

Sejauh ini saya telah mengunduh arsip Apache dari situs web apachehaus dan mengekstraknya ke direktori yang saya inginkan dan kemudian mengatur Apache sebagai layanan dengan menjalankan httpd.exe -k installsesuai petunjuk di situs web Apache .

Sekarang saya bisa melihat layanan Apache dari services.msc

Layanan Apache dari services.msc

Sebagai lanjutan dari instruksi pengaturan Apache sebagai layanan dari situs web Apache, dinyatakan sebagai berikut:

Secara default, semua layanan Apache terdaftar untuk dijalankan sebagai pengguna sistem (akun LocalSystem). Akun LocalSystem tidak memiliki hak istimewa untuk jaringan Anda melalui mekanisme yang dijamin Windows, termasuk sistem file, pipa bernama, DCOM, atau RPC aman. Namun, ia memiliki hak istimewa yang luas secara lokal.

Maka itu menyatakan, sebagai peringatan:

Jangan pernah memberikan hak jaringan apa pun ke akun LocalSystem! Jika Anda memerlukan Apache untuk dapat mengakses sumber daya jaringan, buat akun terpisah untuk Apache seperti disebutkan di bawah ini.

Itu kemudian menyatakan bahwa Anda harus melakukan langkah-langkah berikut:

Disarankan agar pengguna membuat akun terpisah untuk menjalankan layanan Apache. Jika Anda harus mengakses sumber daya jaringan melalui Apache, ini diperlukan.

  1. Buat akun pengguna domain biasa, dan pastikan untuk menghafal kata sandinya.
  2. Berikan hak istimewa kepada pengguna yang baru dibuat untuk Log on sebagai layanan dan Bertindak sebagai bagian dari sistem operasi. Pada Windows NT 4.0 hak istimewa ini diberikan melalui Manajer Pengguna untuk Domain, tetapi pada Windows 2000 dan XP Anda mungkin ingin menggunakan Kebijakan Grup untuk menyebarkan pengaturan ini. Anda juga dapat secara manual mengatur ini melalui snap-in MMC Kebijakan Keamanan Lokal.
  3. Konfirmasikan bahwa akun yang dibuat adalah anggota grup Pengguna.
  4. Berikan hak baca dan eksekusi akun (RX) ke semua folder dokumen dan skrip (htdocs dan cgi-bin misalnya).
  5. Berikan hak perubahan akun (RWXD) ke direktori log Apache.
  6. Berikan hak baca dan eksekusi akun (RX) ke file biner httpd.exe yang dapat dieksekusi.

dan itu berlanjut ... setelah googling pada beberapa langkah yang disebutkan di atas saya menemukan beberapa posting forum yang mengangkat beberapa masalah keamanan mengenai langkah 2:

2. Berikan hak istimewa kepada pengguna yang baru dibuat untuk Log on sebagai layanan dan Bertindak sebagai bagian dari sistem operasi.

Jadi, dapatkah ada yang mengonfirmasi jika memberikan pengguna domain yang digunakan untuk menjalankan Apache sebagai layanan dan memberi mereka hak istimewa Undang - Undang sebagai bagian dari sistem operasi adalah masalah keamanan? Apakah itu wajib? Apakah ada pendekatan yang lebih baik untuk dilakukan di sini?

Masalah keamanan tersebut di atas saya temukan di forum yang terhubung ke situs web Microsoft berikut ini https://msdn.microsoft.com/en-us/subscription/dn221957 yang menyatakan:

Undang-undang sebagai bagian dari pengaturan kebijakan sistem operasi menentukan apakah suatu proses dapat mengambil identitas pengguna mana pun dan dengan demikian memperoleh akses ke sumber daya yang diizinkan untuk diakses oleh pengguna.


Mengapa Anda ingin menggunakan pengguna domain? Saya juga melihat tidak perlu untuk hak istimewa "Bertindak sebagai bagian dari sistem operasi". Saya akan membuat akun pengguna khusus (lokal, jika mungkin) untuk layanan ini.
Daniel B

@DanielB Terima kasih atas komentar Anda. Pertanyaan saya hanya menjelaskan instruksi dari situs web Apache. Saya tidak memutuskan saya ingin menggunakan pengguna domain, situs web apache menyatakan Create a normal domain user accountmelihat tautan: httpd.apache.org/docs/current/platform/windows.html#winsvc . Re: membuat pengguna lokal khusus - Saya kira akun pengguna lokal tidak akan sama dengan LocalSystemakun? Maaf atas ketidaktahuan saya di sini, ini bukan bidang keahlian saya!
haakym

Ada dialog "pengguna dan grup lokal" yang terpisah ( lusrmgr.msc) tersedia di windows yang akan mencantumkan hal-hal seperti Administratorgrup lokal dan Administratorakun lokal .
Seth
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.