Удаление автоматически созданных учетных записей NT AUTHORITY и NT SERVICE

Поэтому я недавно переместил задания - один фрагмент кода, который я обнаружил в наших скриптах сборки для новых установок SQL Server, приведен ниже.

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT AUTHORITY\SYSTEM' )
    BEGIN
        DROP LOGIN [NT AUTHORITY\SYSTEM];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\SQLWriter' )
    BEGIN
        DROP LOGIN [NT SERVICE\SQLWriter];
    END

IF EXISTS ( SELECT  *
            FROM    [sys].[syslogins]
            WHERE   [name] = N'NT SERVICE\Winmgmt' )
    BEGIN
        DROP LOGIN [NT SERVICE\Winmgmt];
    END
GO

Эти учетные записи создаются в процессе установки SQL Server по умолчанию.

Рекомендуется ли удалять вышеуказанные логины? Есть ли побочные эффекты, которые это может вызвать? Для чего используются эти логины?

Я прочитал Можно ли удалить логины NT SERVICE \ SQLWriter и NT SERVICE \ Winmgmt? но это не достаточно конкретно - я вижу, для чего они нужны, но совсем немного. Им нужен доступ сисадмина? и т.п.

В качестве примера (взято из « Настройка учетных записей и разрешений служб Windows» ):

Локальная система - встроенная учетная запись с очень высокими привилегиями. Он имеет широкие привилегии в локальной системе и действует как компьютер в сети. Фактическое имя учетной записи NT AUTHORITY\SYSTEM.

Как мне это прочитать? Стоит ли оставлять эти «высокие» привилегии?

Перед тем, как понизить голосование, вот официальная документация, на которую вы можете сослаться по уважительной причине, почему эти учетные записи будут написаны в сценарии, как вы видите: STIG Rule SV-53421r2_rule . Эти элементы управления зависят от версии SQL Server, но в более поздних версиях также имеется ряд других элементов управления. Если вы работаете в организации, подпадающей под эти элементы управления, а также придерживающейся некоторых из более строгих правил, таких как отзыв грантов по умолчанию, предоставленных общественной роли, вещи могут довольно быстро усложниться.

Поскольку у меня есть некоторый опыт работы в среде, подпадающей под эти элементы управления, я могу сказать, что вы можете отключить / удалить обе учетные записи NT SERVICE\SQLWriterи NT SERVICE\Winmgmtучетные записи сразу, но вы должны убедиться, что служба SQL Server работает под соответствующей учетной записью службы с достаточным уровнем ОС. разрешения, такие как достаточно заблокированная учетная запись службы домена или, что еще лучше, автономная или групповая учетная запись управляемой службы . Опять же, к разрешениям ОС нужно относиться с осторожностью, так как это может привести к возникновению карточного домика, если вы не проведете достаточное тестирование.

Что касается NT AUTHORITY\SYSTEMучетной записи, это НЕ та учетная запись, которую вы хотите удалить, если собираетесь использовать какие-либо группы доступности. Фактически, STIG SV-93835r1_rule упоминает, что вы должны хранить его только с CONNECT SQLразрешениями, предоставленными по умолчанию. Если у вас есть группа доступности, эта учетная запись также должна иметь следующие дополнительные разрешения:

• АЛЬТЕР ЛЮБОЙ ГРУППЫ ДОСТУПНОСТИ
• ПОСМОТРЕТЬ СЕРВЕРНОЕ СОСТОЯНИЕ
• ВЫПОЛНИТЬ [sys]. [Sp_server_diagnostics]
• ВЫПОЛНИТЬ ON [sys]. [Sp_availability_group_command_internal]

Эти ограничения могут быть королевской болью, но есть законные причины, по которым вам нужно будет ограничить их использование и наборы разрешений. Если вы не подпадаете под эти рекомендации, сделайте себе одолжение и закомментируйте эти шаги.

Надеюсь, это поможет!