Řízení místních účtů služeb
Služba Active Directory nabízí čtyři typy místních účtů služeb:
- Účty služby spravované skupinami (gMSA)
- Samostatné účty spravované služby (sMSA)
- Účty místních počítačů
- Uživatelské účty fungující jako účty služeb
Součástí zásad správného řízení účtu služby jsou:
- Ochrana na základě požadavků a účelu
- Správa životního cyklu účtu a jejich přihlašovacích údajů
- Posouzení účtů služeb na základě rizika a oprávnění
- Zajištění, aby služba Active Directory (AD) a Microsoft Entra ID neměly žádné nepoužívané účty služeb s oprávněními
Nové principy účtu služby
Při vytváření účtů služeb zvažte informace v následující tabulce.
| Princip | Situace |
|---|---|
| Mapování účtu služby | Připojení účet služby do služby, aplikace nebo skriptu |
| Vlastnictví | Ujistěte se, že je vlastník účtu, který požaduje a přebírá odpovědnost. |
| Obor | Definování rozsahu a předvídání doby trvání využití |
| Účel | Vytvoření účtů služby pro jeden účel |
| Oprávnění | Použijte zásadu nejmenšího oprávnění: – Nepřiřazovat oprávnění k předdefinovaných skupinám, například správcům – Odebrat oprávnění místního počítače, kde je to možné – Přizpůsobit přístup a použít delegování AD pro přístup k adresáři – Použití podrobných přístupových oprávnění – Nastavení omezení vypršení platnosti účtu a umístění uživatelských účtů služeb |
| Monitorování a auditování použití | – Monitorujte přihlašovací data a zajistěte, aby odpovídala zamýšlenému využití – Nastavte upozornění na neobvyklé využití. |
Omezení uživatelských účtů
Pro uživatelské účty používané jako účty služeb použijte následující nastavení:
- Vypršení platnosti účtu – nastavte, aby platnost účtu služby po období kontroly vypršela automaticky, pokud účet nemůže pokračovat.
- LogonWorkstations – omezení přihlašovacích oprávnění účtu služby
- Pokud běží místně a přistupuje k prostředkům na počítači, omezte ho na jiném místě přihlášení.
- Nejde změnit heslo – nastavte parametr na true , aby se zabránilo změně vlastního hesla účtu služby.
Proces správy životního cyklu
Abyste mohli udržovat zabezpečení účtu služby, spravujte je od vzniku až po vyřazení z provozu. Použijte následující postup:
- Shromážděte informace o využití účtu.
- Přesuňte účet služby a aplikaci do databáze pro správu konfigurace (CMDB).
- Proveďte posouzení rizik nebo formální kontrolu.
- Vytvořte účet služby a použijte omezení.
- Naplánujte a proveďte opakované kontroly.
- Podle potřeby upravte oprávnění a obory.
- Zrušte zřízení účtu.
Shromažďování informací o využití účtu služby
Shromážděte relevantní informace pro každý účet služby. Následující tabulka uvádí minimální informace, které se mají shromáždit. Získejte, co je potřeba k ověření jednotlivých účtů.
| Data | Popis |
|---|---|
| Vlastník | Uživatel nebo skupina zodpovídají za účet služby. |
| Účel | Účel účtu služby |
| Oprávnění (obory) | Očekávaná oprávnění |
| Odkazy CMDB | Účet křížové služby s cílovým skriptem nebo aplikací a vlastníky |
| Riziko | Výsledky posouzení bezpečnostních rizik |
| Životnost | Předpokládaná maximální životnost pro naplánování vypršení platnosti účtu nebo opětovné certifikace |
Proveďte samoobslužnou žádost o účet a vyžadovat příslušné informace. Vlastníkem je aplikace nebo vlastník firmy, člen IT týmu nebo vlastník infrastruktury. Microsoft Forms můžete použít k žádostem a přidruženým informacím. Pokud je účet schválený, použijte Microsoft Forms k jeho přenesení do nástroje pro inventář databáze pro správu konfigurace (CMDB).
Účty služeb a CMDB
Uložte shromážděné informace v aplikaci CMDB. Zahrňte závislosti na infrastruktuře, aplikacích a procesech. Pomocí tohoto centrálního úložiště můžete:
- Posouzení rizika
- Konfigurace účtu služby s omezeními
- Zjištění funkčních a bezpečnostních závislostí
- Provádění pravidelných kontrol zabezpečení a trvalé potřeby
- Požádejte vlastníka, aby zkontroloval, vyřadil a změnil účet služby.
Ukázkový scénář personálního oddělení
Příkladem je účet služby, který spouští web s oprávněními pro připojení k databázím SQL pro lidské zdroje. Informace v účtu služby CMDB, včetně příkladů, jsou uvedené v následující tabulce:
| Data | Příklad |
|---|---|
| Vlastník, zástupce | Název, název |
| Účel | Spusťte webovou stránku personálního oddělení a připojte se k databázím personálního oddělení. Zosobnění koncových uživatelů při přístupu k databázím |
| Oprávnění, obory | HR-WEBServer: přihlaste se místně; spustit webovou stránku HR-SQL1: místní přihlášení; oprávnění ke čtení u databází hr HR-SQL2: místní přihlášení; Oprávnění ke čtení pouze pro databázi platu |
| Nákladové středisko | 123456 |
| Posouzení rizika | Střední; Obchodní dopad: střední; soukromé informace; Střední |
| Omezení účtu | Přihlásit se k: pouze výše uvedené servery; Nejde změnit heslo; ZÁSADY PRO HESLA MBI; |
| Životnost | Neomezené |
| Kontrola cyklu | Biannually: Podle vlastníka, bezpečnostního týmu nebo týmu ochrany osobních údajů |
Posouzení rizik účtů služeb nebo formální kontroly
Pokud je váš účet ohrožen neoprávněným zdrojem, vyhodnoťte rizika související s aplikacemi, službami a infrastrukturou. Zvažte přímá a nepřímá rizika:
- Prostředky, ke které může neoprávněný uživatel získat přístup
- Další informace nebo systémy, ke které má účet služby přístup
- Oprávnění, která může účet udělit
- Indikace nebo signály při změně oprávnění
Po posouzení rizik dokumentace pravděpodobně ukazuje, že rizika ovlivňují účet:
- Omezení
- Životnost
- Kontrola požadavků
- Četnost a revidujícím
Vytvoření účtu služby a použití omezení účtu
Poznámka:
Vytvořte účet služby po posouzení rizik a zdokumentujte zjištění v CMDB. Sladění omezení účtů se zjištěními posouzení rizik
Zvažte následující omezení, i když některé nemusí být pro vaše posouzení relevantní.
- Pro uživatelské účty používané jako účty služeb definujte reálné koncové datum.
- Nastavení data pomocí příznaku Konec platnosti účtu
- Další informace: Set-ADAccountExpiration
- Viz set-ADUser (Active Directory)
- Požadavky na zásady hesel
- Vytvoření účtů v umístění organizační jednotky, které zajistí, že ho budou spravovat jenom někteří uživatelé
- Nastavte a shromážděte auditování, které detekuje změny účtu služby:
- Viz, auditovat změny adresářové služby a
- Přejděte na manageengine.com, kde najdete informace o tom, jak auditovat události ověřování kerberos ve službě AD.
- Bezpečnější přístup k účtu před tím, než přejde do produkčního prostředí
Kontroly účtů služeb
Naplánujte pravidelné kontroly účtů služeb, zejména ty, které klasifikují střední a vysoké riziko. Mezi recenze patří:
- Ověření potřeb účtu vlastníkem s odůvodněním oprávnění a rozsahů
- Kontroly ochrany osobních údajů a zabezpečení, které zahrnují upstreamové a podřízené závislosti
- Kontrola dat auditu
- Ujistěte se, že se účet používá pro svůj stav.
Zrušení zřízení účtů služby
Zrušení zřízení účtů služby na následujících úrovních:
- Vyřazení skriptu nebo aplikace, pro kterou byl účet služby vytvořen
- Vyřazení skriptu nebo funkce aplikace, pro kterou byl použit účet služby
- Výměna účtu služby za jiný
Zrušení zřízení:
- Odeberte oprávnění a monitorování.
- Prozkoumejte přihlašovací přihlášení a přístup k prostředkům souvisejících účtů služeb a ujistěte se, že na ně nemá žádný potenciální vliv.
- Zabránit přihlášení k účtu
- Ujistěte se, že účet už není potřeba (neexistuje žádná stížnost).
- Vytvořte obchodní zásady, které určují dobu, po kterou jsou účty zakázané.
- Odstraňte účet služby.
- MSA – viz, Uninstall-ADServiceAccount
- Použijte PowerShell nebo ho ručně odstraňte z kontejneru účtu spravované služby.
- Počítače nebo uživatelské účty – ručně odstraňte účet ze služby Active Directory.
Další kroky
Další informace o zabezpečení účtů služeb najdete v následujících článcích: