Zabezpečení uživatelských účtů služby ve službě Active Directory
Místní uživatelské účty byly tradičním přístupem, který pomáhá zabezpečit služby spuštěné ve Windows. Tyto účty dnes používejte, pokud vaše služba nepodporuje skupinové účty spravované služby (gMSA) a samostatné účty spravovaných služeb (sMSA). Informace o typu účtu, který se má použít, najdete v tématu Zabezpečení místních účtů služeb.
Můžete prozkoumat přesun účtu služby Azure, jako je spravovaná identita nebo instanční objekt.
Další informace:
- Co jsou spravované identity pro prostředky Azure?
- Zabezpečení instančních objektů v Microsoft Entra ID
Můžete vytvořit místní uživatelské účty, které zajistí zabezpečení služeb a oprávnění, která účty používají pro přístup k místním a síťovým prostředkům. Místní uživatelské účty vyžadují ruční správu hesel, jako jsou jiné uživatelské účty Active Directory (AD). Správci služeb a domén musí udržovat silné procesy správy hesel, které pomáhají udržovat účty v bezpečí.
Když vytvoříte uživatelský účet jako účet služby, použijte ho pro jednu službu. Použijte zásady vytváření názvů, které objasňují, že se jedná o účet služby a službu, se kterou souvisí.
Výhody a potenciální problémy
Místní uživatelské účty jsou univerzálním typem účtu. Uživatelské účty používané jako účty služeb se řídí zásadami, které řídí uživatelské účty. Použijte je, pokud nemůžete použít MSA. Vyhodnoťte, jestli je účet počítače lepší volbou.
Výzvy místních uživatelských účtů jsou shrnuté v následující tabulce:
| Výzva | Zmírnění |
|---|---|
| Správa hesel je ruční a vede ke slabšímu výpadku zabezpečení a služeb. | - Zajistěte běžnou složitost hesla a že se změny řídí procesem, který udržuje silná hesla – koordinuje změny hesel s heslem služby, což pomáhá snížit výpadky služeb. |
| Identifikace místních uživatelských účtů, které jsou účty služeb, může být obtížné. | – Účty dokumentové služby nasazené ve vašem prostředí – Sledování názvu účtu a prostředků, ke kterým mají přístup , – Zvažte přidání předpony svc k uživatelským účtům používaným jako účty služeb. |
Vyhledání místních uživatelských účtů používaných jako účty služeb
Místní uživatelské účty jsou podobné jiným uživatelským účtům AD. Může být obtížné najít účty, protože žádný atribut uživatelského účtu ho identifikuje jako účet služby. Doporučujeme vytvořit zásady vytváření názvů pro uživatelské účty, které se používají jako účty služeb. Přidejte například předponu svc do názvu služby: svc-HRData Připojení or.
K vyhledání účtů služeb použijte některá z následujících kritérií. Tento přístup ale nemusí najít účty:
- Důvěryhodné pro delegování
- S hlavními názvy služeb
- S hesly, jejichž platnost nikdy nevyprší
Pokud chcete najít místní uživatelské účty používané pro služby, spusťte následující příkazy PowerShellu:
Vyhledání účtů důvěryhodných pro delegování:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Vyhledání účtů s hlavními názvy služeb:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Vyhledání účtů s hesly, jejichž platnost nikdy nevyprší:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Můžete auditovat přístup k citlivým prostředkům a archivovat protokoly auditu do systému pro správu událostí a informací o zabezpečení (SIEM). Pomocí Azure Log Analytics nebo Microsoft Sentinelu můžete vyhledávat a analyzovat účty služeb.
Posouzení zabezpečení místních uživatelských účtů
Pomocí následujících kritérií můžete vyhodnotit zabezpečení místních uživatelských účtů používaných jako účty služeb:
- Zásady správy hesel
- Účty s členstvím v privilegovaných skupinách
- Oprávnění ke čtení a zápisu pro důležité prostředky
Zmírnění potenciálních problémů se zabezpečením
Potenciální problémy se zabezpečením místních uživatelských účtů a jejich zmírněním najdete v následující tabulce:
| Problém se zabezpečením | Zmírnění |
|---|---|
| Správa hesel | - Zajištění složitosti hesel a změny hesel se řídí pravidelnými aktualizacemi a silnými požadavky na hesla – Koordinovat změny hesel pomocí aktualizace hesel, aby se minimalizoval výpadek služby. |
| Účet je členem privilegovaných skupin. | – Kontrola členství ve skupině – Odebrání účtu z privilegovaných skupin – Udělení oprávnění a oprávnění ke spuštění služby (konzultace s dodavatelem služeb) – Například zamítat přihlášení místně nebo interaktivní přihlášení |
| Účet má oprávnění ke čtení a zápisu k citlivým prostředkům. | – Auditovat přístup k citlivým prostředkům – Archivace protokolů auditu do SIEM: Azure Log Analytics nebo Microsoft Sentinel – Náprava oprávnění k prostředkům, pokud zjistíte nežádoucí úrovně přístupu |
Typy zabezpečených účtů
Microsoft nedoporučuje používat místní uživatelské účty jako účty služeb. U služeb, které používají tento typ účtu, vyhodnoťte, jestli je možné ho nakonfigurovat tak, aby používaly gMSA nebo sMSA. Kromě toho vyhodnoťte, jestli můžete přesunout službu do Azure, abyste umožnili používání bezpečnějších typů účtů.
Další kroky
Další informace o zabezpečení účtů služeb:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro