允许LocalSystem访问网络文件夹

Question

背景

我们有一个运行在服务器上的LocalSystem帐户下的windows服务。我们有一个单独的服务器，它包含可能包含PHI的应用程序的附件。今天，我们的windows服务无法访问此附件文件夹。我们无法控制服务器或在此服务器上安装的应用程序。

我们想做什么

我们希望从windows服务访问此附件文件夹。

我们提出的解决方案

我们正在考虑建议我们的客户授予对此附件文件夹的LocalSystem帐户访问权限。据我理解，这将允许所有服务访问该文件夹，以及该服务器上模拟LocalSystem帐户的任何内容。

My concerns

由于我们无法控制此服务器，因此其他应用程序将在此服务器上运行，可能在LocalSystem帐户下运行。其他应用程序可能面对使用LocalSystem帐户配置的IIS网站(希望不是这样)。重点是，我担心的是，推荐一些可能会导致以意外方式访问这些PHI文档的东西。我更喜欢正在构建的专用网络帐户，但我想了解是否有理由考虑授予LocalSystem帐户访问权限。

我的问题

这会被认为是错误的做法吗？这会让我们面临更多的安全风险吗？

Answer 1

这里有两个选项，您可以创建一个服务帐户来访问附件文件夹(记住要设置使用此服务帐户运行的服务)，或者可以使用服务器(在LocalSystem帐户下运行服务)访问附件文件夹。记住，您需要对机器帐户(运行LocalSystem的服务器)访问附件文件夹。如果使用DFS管理，请确保允许对共享文件的权限。

建议:如果要增加附件文件夹和LocalService服务器之间的安全性，可以：

1. 在防火墙上设置规则(用于管理服务器和附件文件夹之间的通信)。
2. 打开附件文件夹上的审核日志。
3. 此外，如果您有一个很好的防病毒软件，则可以设置允许或拒绝附件文件夹的权限的规则。