Как доказать, что NT AUTHORITY / NT SERVICE учетные записи SQL не могут проходить аутентификацию?

Question

Аудиторы просят меня показать им, что учетные записи NT AUTHORITY / NT SERVICE (NT SERVICE \ SQLWriter, NT SERVICE \ Winmgmt и т. Д.) В наших базах данных SQL.Меня учили, что они являются учетными записями служб и не являются интерактивными.

Есть ли способ, которым я могу продемонстрировать это им?Я отправил им документацию MS по учетным записям и разрешениям службы Windows, и они говорят, что хотят продемонстрировать это вживую.

Как я могу это сделать?Есть ли флаг, который я могу им показать?

Answer 1

Вы не правы ... вы действительно можете запускать программы под этими учетными записями.Даже в интерактивном режиме.Либо используя что-то вроде механизма PSExec (https://docs.microsoft.com/en-us/sysinternals/downloads/psexec), манипулирование токенами, либо изменение прав учетной записи с помощью реестра / объекта групповой политики