Schützen lokaler Dienstkonten

Ein Dienst verfügt über eine primäre Sicherheitsidentität, mit der die Zugriffsrechte für lokale und Netzwerkressourcen bestimmt werden. Der Sicherheitskontext für einen Microsoft Win32-Dienst wird durch das Dienstkonto bestimmt, das zum Starten des Diensts verwendet wird. Ein Dienstkonto wird für Folgendes verwendet:

  • Identifizieren und Authentifizieren eines Diensts
  • Erfolgreiches Starten eines Diensts
  • Zugreifen auf oder Ausführen von Code oder Anwendungen
  • Starten eines Prozesses

Typen von lokalen Dienstkonten

Je nach Anwendungsfall können Sie ein verwaltetes Dienstkonto (Managed Service Account, MSA), ein Computerkonto oder ein Benutzerkonto verwenden, um einen Dienst auszuführen. Ein Dienst muss zuerst getestet werden, um zu ermitteln, ob er für die Verwendung eines verwalteten Dienstkontos geeignet ist. Falls ja, sollten Sie ein MSA verwenden.

Über Gruppen verwaltete Dienstkonten

Verwenden Sie für Dienste, die in Ihrer lokalen Umgebung ausgeführt werden, nach Möglichkeit gruppenverwaltete Dienstkonten (group managed service accounts, gMSAs). gMSAs bieten eine Einzelidentitätslösung für Dienste, die in einer Serverfarm oder hinter einem Netzwerklastenausgleich ausgeführt wird. gMSAs eignen sich auch für Dienste, die auf einem einzelnen Server ausgeführt werden. Weitere Informationen zu den Anforderungen für gMSAs finden Sie unter Erste Schritte mit gruppenverwalteten Dienstkonten.

Eigenständige verwaltete Dienstkonten

Sollten Sie kein gMSA verwenden können, verwenden Sie ein eigenständiges verwaltetes Dienstkonto (standalone managed service account, sMSA). Für sMSAs ist mindestens Windows Server 2008 R2 erforderlich. Im Gegensatz zu gMSAs werden sMSAs nur auf einem einzelnen Server ausgeführt. Sie können für mehrere Dienste auf diesem Server verwendet werden.

Computerkonten

Sollten Sie kein MSA verwenden können, empfiehlt sich ggf. die Verwendung eines Computerkontos. Das LocalSystem-Konto ist ein vordefiniertes lokales Konto, das umfangreiche Berechtigungen für den lokalen Computer umfasst und als Computeridentität im Netzwerk fungiert.

Unter LocalSystem-Konten ausgeführte Dienste greifen auf Netzwerkressourcen über die Anmeldeinformationen des Computerkontos im Format <domain_name>\<computer_name> zu. Der vordefinierte Name lautet „NT AUTHORITY\SYSTEM“. Er kann verwendet werden, um einen Dienst zu starten und einen Sicherheitskontext für diesen Dienst bereitzustellen.

Hinweis

Bei Verwendung eines Computerkontos können Sie nicht ermitteln, von welchem Dienst auf dem Computer das Konto verwendet wird. Somit können Sie nicht überprüfen, von welchem Dienst Änderungen vorgenommen werden.

Benutzerkonten

Sollten Sie kein MSA verwenden können, empfiehlt sich ggf. die Verwendung eines Benutzerkontos. Ein Benutzerkonto kann ein Domänenbenutzerkonto oder ein lokales Benutzerkonto sein.

Bei einem Domänenbenutzerkonto können mit dem Dienst die Dienstsicherheitsfunktionen von Windows und Microsoft Active Directory Domain Services in vollem Umfang genutzt werden. Der Dienst verfügt über lokale und netzwerkbezogene Berechtigungen, die dem Konto gewährt wurden. Außerdem verfügt er über die Berechtigungen aller Gruppen, denen das Konto angehört. Domänendienstkonten unterstützen die gegenseitige Kerberos-Authentifizierung.

Ein lokales Benutzerkonto (Namensformat: .\ ) ist nur in der Datenbank des Sicherheitskonto-Managers des Hostcomputers vorhanden. Es verfügt über kein Benutzerobjekt in Active Directory Domain Services. Ein lokales Konto kann nicht in der Domäne authentifiziert werden. Ein Dienst, der im Sicherheitskontext eines lokalen Benutzerkontos ausgeführt wird, hat daher keinen Zugriff auf Netzwerkressourcen (außer als anonymer Benutzer). Im lokalen Benutzerkontext ausgeführte Dienste können die gegenseitige Kerberos-Authentifizierung nicht unterstützen, bei der der Dienst durch die zugehörigen Clients authentifiziert wird. Aus diesen Gründen eignen sich lokale Benutzerkonten üblicherweise nicht für verzeichnisfähige Dienste.

Wichtig

Dienstkonten sollten keiner privilegierten Gruppe angehören, da die Mitgliedschaft in einer privilegierten Gruppe Berechtigungen beinhaltet, die ein Sicherheitsrisiko darstellen können. Jeder Dienst muss über ein eigenes Dienstkonto für die Überwachung und Sicherheit verfügen.

Auswählen des geeigneten Dienstkontotyps

Kriterium gMSA sMSA Computerkonto Benutzerkonto
Ausführen der Anwendung auf einem einzelnen Server Ja Ja. Verwenden Sie nach Möglichkeit ein gMSA. Ja. Verwenden Sie nach Möglichkeit ein MSA. Ja. Verwenden Sie nach Möglichkeit ein MSA.
Ausführen der Anwendung auf mehreren Servern Ja Nein Nein. Das Konto ist an den Server gebunden. Ja. Verwenden Sie nach Möglichkeit ein MSA.
Ausführen der Anwendung hinter einem Lastenausgleich Ja Nein Nein Ja. Verwenden Sie diese Option nur, wenn Sie kein gMSA verwenden können.
Ausführen der Anwendung unter Windows Server 2008 R2 Nein Ja Ja. Verwenden Sie nach Möglichkeit ein MSA. Ja. Verwenden Sie nach Möglichkeit ein MSA.
Ausführen der App unter Windows Server 2012 Ja Ja. Verwenden Sie nach Möglichkeit ein gMSA. Ja. Verwenden Sie nach Möglichkeit ein MSA. Ja. Verwenden Sie nach Möglichkeit ein MSA.
Anforderung der Beschränkung des Dienstkontos auf einen einzelnen Server Nein Ja Ja. Verwenden Sie nach Möglichkeit ein sMSA. Nein

Verwenden von Serverprotokollen und PowerShell für Untersuchungen

Über Serverprotokolle können Sie ermitteln, auf welchen und auf wie vielen Servern eine Anwendung ausgeführt wird.

Mit dem folgenden PowerShell-Befehl können Sie eine Liste der Windows Server-Versionen für alle Server in Ihrem Netzwerk abrufen:


Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `

-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

sort-Object -Property Operatingsystem |

Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

Out-GridView

Suchen lokaler Dienstkonten

Es empfiehlt sich, alle als Dienstkonten verwendeten Konten mit einem Präfix wie „svc-“ zu versehen. Diese Namenskonvention vereinfacht die Kontosuche und -verwaltung. Des Weiteren empfiehlt sich ggf. die Verwendung eines Beschreibungsattributs für das Dienstkonto und den Besitzer des Dienstkontos. Dabei kann es sich um einen Teamalias oder um den Besitzer eines Sicherheitsteams handeln.

Das Auffinden lokaler Dienstkonten ist der Schlüssel zur Gewährleistung ihrer Sicherheit. Dies kann bei MSA-fremden Konten schwierig sein. Es empfiehlt sich, alle Konten, die Zugriff auf Ihre wichtigen lokalen Ressourcen haben, zu überprüfen sowie zu bestimmen, welche Computer- oder Benutzerkonten als Dienstkonten fungieren können.

Informationen zur Dienstkontosuche finden Sie im Abschnitt Nächste Schritte im Artikel zu diesem Kontotyp.

Dokumentieren von Dienstkonten

Wenn Sie die Dienstkonten in Ihrer lokalen Umgebung gefunden haben, dokumentieren Sie die folgenden Informationen:

  • Besitzer: Die Person, die für die Verwaltung des Kontos verantwortlich ist.

  • Zweck: Die Anwendung, die das Konto darstellt, oder ein anderer Zweck.

  • Berechtigungsbereiche: Die Berechtigungen, über die es verfügt oder verfügen soll, sowie alle Gruppen, denen es ggf. angehört.

  • Risikoprofil: Welches Risiko besteht für Ihr Unternehmen, wenn dieses Konto kompromittiert wird? Ist das Risiko hoch, verwenden Sie ein MSA.

  • Erwartete Lebensdauer und regelmäßiger Nachweis: Wie lange ist das Konto voraussichtlich aktiv, und wie oft muss der Besitzer das Konto überprüfen und nachweisen, dass es weiterhin benötigt wird?

  • Kennwortsicherheit: Betrifft Benutzerkonten und lokale Computerkonten, für die das Kennwort gespeichert wird. Stellen Sie sicher, dass Kennwörter sicher aufbewahrt werden, und dokumentieren Sie, wer Zugriff hat. Verwenden Sie Privileged Identity Management für den Schutz der gespeicherten Kennwörter.

Nächste Schritte

Weitere Informationen zum Schutz von Dienstkonten finden Sie in den folgenden Artikeln: