Zabezpečení místních účtů služeb
Služba má primární identitu zabezpečení, která určuje přístupová práva pro místní a síťové prostředky. Kontext zabezpečení pro službu Microsoft Win32 je určen účtem služby, který se používá ke spuštění služby. Účet služby používáte k:
- Identifikujte a ověřte službu.
- Úspěšně spusťte službu.
- Přístup k kódu nebo spuštění kódu nebo aplikace
- Spusťte proces.
Typy místních účtů služeb
V závislosti na vašem případu použití můžete ke spuštění služby použít účet spravované služby (MSA), účet počítače nebo uživatelský účet. Nejprve musíte otestovat službu, abyste potvrdili, že může používat účet spravované služby. Pokud služba může používat službu MSA, měli byste ji použít.
Skupinové účty spravované služby
Pro služby, které běží v místním prostředí, použijte účty skupin spravovaných služeb (gMSA) kdykoli je to možné. GMSA poskytují řešení s jednou identitou pro služby, které běží na serverové farmě nebo za nástrojem pro vyrovnávání zatížení sítě. GMSA lze použít také pro služby, které běží na jednom serveru. Informace o požadavcích pro účty gMSA najdete v tématu Začínáme se skupinami účtů spravovaných služeb.
Samostatné účty spravované služby
Pokud nemůžete použít gMSA, použijte samostatný účet spravované služby (sMSA). SMSA vyžadují alespoň Windows Server 2008 R2. Na rozdíl od gMSAs běží sMSA pouze na jednom serveru. Dají se použít pro více služeb na daném serveru.
Účty počítačů
Pokud nemůžete použít službu MSA, zvažte použití účtu počítače. Účet LocalSystem je předdefinovaný místní účet, který má rozsáhlá oprávnění v místním počítači a funguje jako identita počítače v síti.
Služby, které běží jako účet LocalSystem, přistupují k síťovým prostředkům pomocí přihlašovacích údajů účtu počítače ve formátu <domain_name>\<computer_name>. Jeho předdefinovaný název je NT AUTHORITY\SYSTEM. Můžete ji použít ke spuštění služby a poskytnutí kontextu zabezpečení pro danou službu.
Poznámka:
Pokud používáte účet počítače, nemůžete určit, která služba v počítači tento účet používá. V důsledku toho nemůžete auditovat, která služba provádí změny.
Uživatelské účty
Pokud nemůžete použít msa, zvažte použití uživatelského účtu. Uživatelským účtem může být uživatelský účet domény nebo místní uživatelský účet.
Uživatelský účet domény umožňuje službě plně využívat funkce zabezpečení služeb systému Windows a služeb Microsoft Doména služby Active Directory Services. Služba bude mít udělená oprávnění k místnímu účtu a síti. Bude mít také oprávnění všech skupin, jejichž účet je členem. Účty služby Domain Service podporují vzájemné ověřování kerberos.
Místní uživatelský účet (formát názvu: .\UserName) existuje pouze v databázi Správce účtů zabezpečení hostitelského počítače. V Doména služby Active Directory Services nemá objekt uživatele. Místní účet nemůže být ověřen doménou. Takže služba, která běží v kontextu zabezpečení místního uživatelského účtu, nemá přístup k síťovým prostředkům (s výjimkou anonymního uživatele). Služby, které běží v kontextu místního uživatele, nemůžou podporovat vzájemné ověřování Kerberos, ve kterém je služba ověřena svými klienty. Z těchto důvodů jsou místní uživatelské účty obvykle nevhodné pro adresářové služby.
Důležité
Účty služeb by neměly být členy žádné privilegované skupiny, protože členství v privilegovaných skupinách uděluje oprávnění, která by mohla představovat bezpečnostní riziko. Každá služba by měla mít vlastní účet služby pro účely auditování a zabezpečení.
Volba správného typu účtu služby
| Kritérium | gMSA | sMSA | Účet počítače | Uživatelský účet |
|---|---|---|---|---|
| Aplikace běží na jednom serveru. | Ano | Ano. Pokud je to možné, použijte gMSA. | Ano. Pokud je to možné, použijte MSA. | Ano. Pokud je to možné, použijte MSA. |
| Aplikace běží na více serverech | Yes | No | Ne. Účet je svázaný se serverem. | Ano. Pokud je to možné, použijte MSA. |
| Aplikace běží za nástrojem pro vyrovnávání zatížení. | Yes | Číslo | Ne | Ano. Použijte jenom v případě, že nemůžete použít gMSA. |
| Aplikace běží na Windows Serveru 2008 R2 | No | Ano | Ano. Pokud je to možné, použijte MSA. | Ano. Pokud je to možné, použijte MSA. |
| Aplikace běží na Windows Serveru 2012 | Ano | Ano. Pokud je to možné, použijte gMSA. | Ano. Pokud je to možné, použijte MSA. | Ano. Pokud je to možné, použijte MSA. |
| Požadavek na omezení účtu služby na jeden server | No | Ano | Ano. Pokud je to možné, použijte sMSA. | No |
Zkoumání pomocí protokolů serveru a PowerShellu
Protokoly serveru můžete použít k určení serverů a počtu serverů, na kterých běží aplikace.
Pokud chcete získat výpis verze Windows Serveru pro všechny servery ve vaší síti, můžete spustit následující příkaz PowerShellu:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
Vyhledání místních účtů služeb
Ke všem účtům, které používáte jako účty služeb, doporučujeme přidat předponu, například svc-. Díky této konvenci vytváření názvů se účty snadněji najdou a spravují. Zvažte také použití atributu popisu pro účet služby a vlastníka účtu služby. Popis může být alias týmu nebo vlastník týmu zabezpečení.
Nalezení místních účtů služeb je klíčem k zajištění jejich zabezpečení. To může být obtížné pro účty, které nejsou účty MSA. Doporučujeme zkontrolovat všechny účty, které mají přístup k důležitým místním prostředkům, a určit, který počítač nebo uživatelské účty můžou působit jako účty služeb.
Informace o tom, jak najít účet služby, najdete v článku o tomto typu účtu v části Další kroky.
Účty dokumentových služeb
Po nalezení účtů služby v místním prostředí si zdokumentujte následující informace:
Vlastník: Osoba odpovědná za údržbu účtu.
Účel: Aplikace, která účet představuje, nebo jiný účel.
Obory oprávnění: Oprávnění, která má nebo měla mít, a všechny skupiny, kterých je členem.
Profil rizika: Riziko pro vaši firmu, pokud je tento účet ohrožen. Pokud je riziko vysoké, použijte MSA.
Očekávaná doba života a pravidelné ověření identity: Jak dlouho očekáváte, že bude tento účet živý a jak často by měl vlastník kontrolovat a otestovat jeho probíhající potřebu.
Zabezpečení hesla: Pro účty uživatelů a místních počítačů, kde je heslo uloženo. Ujistěte se, že hesla jsou zabezpečená, a ověřte, kdo má přístup. Zvažte použití Privileged Identity Management k zabezpečení uložených hesel.
Další kroky
Další informace o zabezpečení účtů služeb najdete v následujících článcích: