Nell’amministrazione di un sistema Windows, la gestione dei privilegi minimi è un pilastro della sicurezza. Una delle operazioni più comuni, ma che spesso genera confusione, è la migrazione di un servizio dall’account Local Service al Network Service.
Perché cambiare l’account di servizio?
Mentre Local Service è progettato per processi che necessitano di privilegi minimi e non richiedono accesso a risorse esterne, l’account Network Service è la scelta corretta quando un servizio deve autenticarsi sulla rete utilizzando l’identità del computer (DOMINIO\NOMECOMPUTER$).
La domanda che molti amministratori si pongono durante lo switch è: “Quale password devo impostare per Network Service?“.
La risposta è: Nessuna.
Gli account Network Service e Local Service sono gestiti direttamente dal sistema operativo. Windows gestisce internamente le credenziali e non richiede l’intervento dell’utente per l’autenticazione.
Procedura
Per effettuare correttamente questa modifica, tramite la console Servizi di Windows (services.msc), questi sono i passaggi:
- aprire la console e individuare il servizio da modificare
- fare clic col tasto destro, selezionare “Proprietà” e aprire la scheda “Connessione“
- nella voce “Account” inserire “NT AUTHORITY\NetworkService” o nel caso contrario “NT AUTHORITY\LocalService“
- svuotare entrambi i campi password. Lasciarli vuoti è fondamentale affinché Windows utilizzi l’account di sistema predefinito
- dopo aver cliccato “OK“, Windows mostrerà un messaggio che all’account è stato concesso il diritto di “Accesso come servizio“. Riavviare quindi il servizio per rendere effettive le modifiche
Passando a “Network Service“, il servizio potrà accedere alle risorse di rete (come file share o database SQL) utilizzando l’account del computer. È fondamentale assicurarsi che il computer abbia i permessi necessari sulle cartelle di destinazione, aggiungendo l’oggetto computer ai permessi (ACL)
