Eliminazione degli account NT AUTHORITY e NT SERVICE creati automaticamente

Di recente ho spostato i lavori: un pezzo di codice che ho individuato nei nostri script di build per le nuove installazioni di SQL Server è riportato di seguito.

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT AUTHORITY\SYSTEM' )
    BEGIN
        DROP LOGIN [NT AUTHORITY\SYSTEM];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\SQLWriter' )
    BEGIN
        DROP LOGIN [NT SERVICE\SQLWriter];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\Winmgmt' )
    BEGIN
        DROP LOGIN [NT SERVICE\Winmgmt];
    END
GO

Questi account vengono creati durante il processo di installazione di SQL Server per impostazione predefinita.

Si consiglia di eliminare gli accessi precedenti? Ci sono effetti collaterali che potrebbero causare? A cosa servono questi accessi?

Ho letto Posso cancellare gli accessi NT SERVICE \ SQLWriter e NT SERVICE \ Winmgmt? ma non è abbastanza concreto - posso vedere a cosa servono ma pochissimo altro. Hanno bisogno dell'accesso al sysadmin? eccetera.

Ad esempio (tratto da Configura account e autorizzazioni del servizio Windows ):

Il sistema locale è un account incorporato con privilegi molto elevati. Ha ampi privilegi sul sistema locale e funge da computer sulla rete. Il nome effettivo dell'account è NT AUTHORITY\SYSTEM.

Come dovrei leggere questo? Dovrebbe essere lasciato con questi "alti" privilegi?

sql-server sql-server-2016 security

— George.Palacios
fonte

Vedi questa precedente domanda correlata . Personalmente ritengo che questo sia qualcosa che dovrebbe essere fatto solo se (a) ci sono dei benefici tangibili nel farlo e (b) c'è la prova che gli effetti collaterali non ti influenzeranno.

— Aaron Bertrand

Prima di effettuare il downgrade, ecco la documentazione formale a cui puoi fare riferimento per un motivo legittimo perché questi account verrebbero scritti come vedi: STIG Rule SV-53421r2_rule . Questi controlli sono specifici della versione di SQL Server, ma esistono anche altri controlli nelle versioni più recenti. Se lavori per un'organizzazione che rientra in questi controlli e aderisce anche ad alcuni dei più severi, come la revoca delle sovvenzioni predefinite assegnate al ruolo pubblico, le cose possono complicarsi abbastanza rapidamente.

Come ho una certa esperienza in un ambiente che cade sotto questi controlli, posso dire che è possibile disattivare / eliminare sia il NT SERVICE\SQLWritere NT SERVICE\Winmgmtconti a titolo definitivo, ma è necessario assicurarsi che il servizio SQL Server è in esecuzione con un account di servizio appropriato con livello di sistema operativo sufficiente autorizzazioni, come un account del servizio di dominio sufficientemente bloccato o, ancora meglio, account del servizio gestito autonomo o di gruppo . Ancora una volta, le autorizzazioni del sistema operativo devono essere trattate con cura in quanto questo si avventurerà nel territorio del castello di carte se non si eseguono test sufficienti.

Per quanto riguarda l' NT AUTHORITY\SYSTEMaccount, questo NON è un account che si desidera eliminare se si sta eseguendo un gruppo di disponibilità. In effetti, STIG SV-93835r1_rule menziona che dovresti tenerlo con solo le CONNECT SQLautorizzazioni concesse per impostazione predefinita. Nel caso in cui si disponga di un gruppo di disponibilità, questo account dovrà disporre anche delle seguenti autorizzazioni aggiuntive:

MODIFICARE QUALSIASI GRUPPO DISPONIBILITÀ
VISUALIZZA STATO SERVER
EXECUTE ON [sys]. [Sp_server_diagnostics]
EXECUTE ON [sys]. [Sp_availability_group_command_internal]

Queste restrizioni possono essere un dolore reale, ma ci sono motivi legittimi per limitare il loro uso e le loro autorizzazioni. Se non rientri in queste linee guida, concediti il favore e commenta questi passaggi.

Spero che aiuti!

— John Eisbrener
fonte