executar como "NT AUTHORITY \ SYSTEM" é ideal para tarefas agendadas?


4

Tenho um processo de backup / atualização automática para o meu software e, geralmente, crio um novo usuário para executá-lo no agendador de tarefas (a maioria dos usuários não possui uma senha e o agendador de tarefas precisa, não sei por que).

Depois, vi que o google chrome instala sua tarefa de atualização automática para ser executada como "NT AUTHORITY \ SYSTEM", testei-o e funciona muito bem com meus programas, além de parecer mais limpo,

existem algumas desvantagens escondidas aqui que eu não estou vendo?

Obrigado!

Respostas:


6

Minha recomendação

Para uma única máquina, o método mais direto é criar uma conta no grupo Operadores de backup internos .

Existem duas grandes desvantagens que inicialmente vêm à mente ao executar programas no SYSTEM .

Segurança

Quase sempre, o maior motivo pelo qual os administradores criam contas discretas para processos agendados é monitorá-los e conceder-lhes acesso que normalmente não seria concedido a um aplicativo em execução típico. Nesse caso, ele precisa de acesso de leitura a todos os arquivos e precisa de acesso de gravação ao seu local de armazenamento de backup, o que tende a ter um acesso mais estrito.

Dar a qualquer programa que seja executado como SYSTEM equivale a executá-lo como administrador mais ou menos, concedendo a ele mais privilégios do que o necessário. Há um grupo interno de Operadores de Backup por esse motivo.

UAC

Às vezes, a conta SYSTEM é confundida pelos usuários como um superusuário ou uma conta raiz . Não é nenhum. É usado internamente pelo Windows. Ele nunca foi projetado para ser usado por programas, a menos que o programa o especifique. Dito isto, existem bugs desconhecidos que surgem se você estiver executando um programa não projetado para a conta SYSTEM . Por um lado, observe que não há senha de usuário para ele. Nem é realmente uma conta de usuário se você tentar se autenticar remotamente.


Anedoticamente, o UAC também causa estragos em programas executados no contexto do SISTEMA. Já vi programas mal escritos aparecerem em uma caixa de diálogo pedindo ao usuário para "executar como administrador". Vai saber.

Também há uma postagem no blog do MSDN que me lembra que não consigo descobrir que o autor passou o dia inteiro depurando o SQL Server na máquina de um cliente. Instalação nova. . . ou assim eles pensaram. Acontece que um determinado componente do sistema operacional foi alterado de NT AUTHORITY \ NETWORK SERVICE para SYSTEM, sob o pretexto de que ele tinha mais permissões e privilégios do que qualquer outra conta. Pelo contrário, apenas tem diferentes.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.