トレーニング
モジュール
Windows Sever ユーザー アカウントをセキュリティで保護する - Training
ユーザー アカウントを最小の権限にしてセキュリティ保護したうえで保護ユーザー グループに入れることで Active Directory 環境を保護します。 認証スコープを制限し、潜在的に安全でないアカウントを修復する方法について説明します。
方法: サービスのセキュリティ コンテキストを指定する
注意
この記事は、.NET のホステッド サービスには適用されません。 Microsoft.Extensions.Hosting.BackgroundService を使用した Windows サービスの最新のコンテンツと Worker サービス テンプレートについては、次を参照してください:
既定では、サービスはログインしているユーザーのセキュリティ コンテキストとは異なるセキュリティ コンテキストで実行します。 サービスは LocalSystem という名前の既定のシステム アカウントのコンテキストで実行し、このコンテキストはサービスに対してユーザーとは異なるシステム リソースへのアクセス特権を付与します。 この動作を変更し、サービスの実行が異なるユーザー アカウントで行われるように指定することができます。
サービスが実行しているプロセスの Account プロパティを操作することで、セキュリティ コンテキストを設定します。 このプロパティでは、次の 4 種類のアカウントのいずれかに、サービスを設定できます。
User: システムは、サービスのインストール時に有効なユーザー名とパスワードの指定を要求し、ネットワーク上の 1 人のユーザーによって指定されたアカウントのコンテキストで実行します。LocalService: ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーに匿名の資格情報を提示するアカウントのコンテキストで実行します。LocalSystem: 広範なローカル特権を提供し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。NetworkService: ローカル コンピューター上で非特権ユーザーとして機能し、リモート サーバーにコンピューターの資格情報を提示するアカウントのコンテキストで実行します。
詳細については、ServiceAccount 列挙型のページをご覧ください。
サービスの作成後、必要なインストーラーを追加します。 詳細については、サービス アプリケーションにインストーラーを追加する」を参照してください。
デザイナーで、
ProjectInstallerクラスにアクセスし、対象となるサービスのサービス プロセス インストーラーをクリックします。注意
すべてのサービス アプリケーションについて、
ProjectInstallerクラスには少なくとも 2 つのインストール コンポーネントがあります。プロジェクト内のすべてのサービスに対するプロセスをインストールするものと、アプリケーションに含まれるサービスごとに 1 つのインストーラーです。 このインスタンスでは、ServiceProcessInstaller を選びます。[プロパティ] ウィンドウで、Account を適切な値に設定します。
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
.NET に関するフィードバック
.NET はオープンソース プロジェクトです。 フィードバックを提供するにはリンクを選択します。