Steuern lokaler Dienstkonten
Active Directory bietet vier Arten von lokalen Dienstkonten:
- Gruppenverwaltete Dienstkonten (Group managed service accounts, gMSAs)
- Eigenständige verwaltete Dienstkonten (sMSAs)
- Lokale Computerkonten
- Benutzerkonten, die als Dienstkonten funktionieren
Ein Teil der Governance für Dienstkonten umfasst Folgendes:
- Ihren Schutz basierend auf Anforderungen und Zweck
- Das Verwalten der Kontolebenszyklen und ihrer Anmeldeinformationen
- Die Bewertung von Dienstkonten basierend auf Risiken und Berechtigungen
- Das Sicherstellen, dass Active Directory (AD) und Microsoft Entra ID keine nicht verwendeten Dienstkonten mit Berechtigungen haben
Neue Prinzipien für Dienstkonten
Berücksichtigen Sie beim Erstellen von Dienstkonten die Informationen in der folgenden Tabelle.
| Prinzip | Aspekt |
|---|---|
| Zuordnen von Dienstkonten | Verbinden Sie das Dienstkonto mit einem Dienst, einer Anwendung oder einem Skript. |
| Besitz | Stellen Sie sicher, dass es einen Kontobesitzer gibt, der die Verantwortung anfordert und übernimmt. |
| `Scope` | Definieren Sie den Umfang, und treffen Sie Annahmen über die Nutzungsdauer. |
| Zweck | Erstellen Sie Dienstkonten für einen einzigen Zweck. |
| Berechtigungen | Anwenden des Prinzips der geringsten Berechtigung: - Weisen Sie integrierten Gruppen (beispielsweise Administrator*innen) keine Berechtigungen zu. - Entfernen Sie wo möglich lokale Computerberechtigungen. - Passen Sie den Zugriff an, und verwenden Sie für den Verzeichniszugriff die AD-Delegierung. - Verwenden Sie präzise Zugriffsberechtigungen. - Legen Sie Kontoablaufdaten und standortbasierte Einschränkungen für benutzerbasierte Dienstkonten fest. |
| Nutzungsüberwachung | - Überwachen Sie die Anmeldedaten, und stellen Sie sicher, dass sie der vorgesehenen Nutzung entsprechen. - Legen Sie Warnungen bei ungewöhnlicher Nutzung fest. |
Einschränkungen für Benutzerkonten
Wenden Sie für Benutzerkonten, die als Dienstkonten verwendet werden, die folgenden Einstellungen an:
- Kontoablauf: Legen Sie fest, dass das Dienstkonto nach dem Überprüfungszeitraum automatisch abläuft, es sei denn, das Konto kann weiter genutzt werden.
- LogonWorkstations: Schränken Sie Anmeldeberechtigungen für Dienstkonten ein.
- Wenn ein Konto lokal auf einem Computer ausgeführt wird und nur auf Ressourcen auf diesem Computer zugreift, unterbinden Sie die Möglichkeit für anderweitige Anmeldungen.
- Keine Kennwortänderung: Legen Sie den Parameter auf true fest, um zu verhindern, dass das Dienstkonto sein eigenes Kennwort ändern kann.
Prozess der Lebenszyklusverwaltung
Um die Sicherheit von Dienstkonten zu gewährleisten, verwalten Sie sie von der Einrichtung bis zur Außerbetriebnahme. Führen Sie den folgenden Vorgang aus:
- Sammeln Sie Informationen über die Kontonutzung.
- Verschieben des Dienstkontos und der App in die Konfigurationsverwaltungsdatenbank (Configuration Management Database, CMDB)
- Durchführen einer Risikobewertung oder formalen Überprüfung
- Erstellen des Dienstkontos und Anwenden von Einschränkungen
- Planen und Ausführen wiederholter Überprüfungen
- Passen Sie Berechtigungen und Umfänge nach Bedarf an.
- Heben Sie die Bereitstellung des Kontos auf.
Sammeln von Nutzungsinformationen für das Dienstkonto
Sammeln Sie für jedes Dienstkonto relevante Informationen. In der folgenden Tabelle sind die Informationen aufgeführt, die Sie mindestens erfassen sollten. Rufen Sie ab, was zum Überprüfen jedes einzelnen Kontos erforderlich ist.
| Daten | BESCHREIBUNG |
|---|---|
| Besitzer | Den für das Dienstkonto verantwortliche Benutzer oder die entsprechende Gruppe |
| Zweck | Der Zweck des Dienstkontos. |
| Berechtigungen (Bereiche) | Die erwarteten Berechtigungen |
| CMDB-Links | Das dienstübergreifende Konto mit dem Zielskript oder der Anwendung und den Besitzern |
| Risiko | Die Ergebnisse einer Sicherheitsrisikobewertung |
| Lebensdauer | Die voraussichtlich maximale Lebensdauer, um das Kontoablaufdatum oder die Neuzertifizierung festzulegen |
Legen Sie fest, dass die Kontoanforderung nach dem Self-Service-Prinzip erfolgt, und dafür die relevanten Informationen erforderlich sind. Der Besitzer ist ein Anwendungs- oder Geschäftsinhaber, ein Mitglied der IT-Abteilung oder ein Infrastrukturbesitzer. Sie können Microsoft Forms für Anforderungen und die zugehörigen Informationen verwenden. Wenn das Konto genehmigt wurde, verwenden Sie Microsoft Forms, um es in ein CMDB-Inventurtool (Configuration Management Databases, Datenbanken zur Konfigurationsverwaltung) zu portieren.
Dienstkonten und CMDB
Speichern Sie die gesammelten Informationen in einer CMDB-Anwendung. Schließen Sie Abhängigkeiten von Infrastruktur, Anwendungen und Prozessen ein. Verwenden Sie dieses zentrale Repository für Folgendes:
- Risikobewertung
- Konfigurieren der Dienstkonten mit Einschränkungen
- Ermitteln von Funktions- und Sicherheitsabhängigkeiten
- Durchführen regelmäßiger Überprüfungen auf Sicherheit und fortgesetzten Bedarf
- Wenden Sie sich an den Besitzer, um das Dienstkonto zu überprüfen, außer Betrieb zu nehmen oder zu ändern.
Beispielszenario für die Personalverwaltung
Ein Beispiel wäre ein Dienstkonto, das eine Website mit Berechtigungen zum Herstellen einer Verbindung zu SQL-Datenbanken der Personalabteilung ausführt. Die Informationen im CMDB-Dienstkonto (inklusive Beispielen) werden in der folgenden Tabelle aufgeführt:
| Daten | Beispiel |
|---|---|
| Besitzer, Stellvertreter | Name, Name |
| Zweck | Ausführen der HR-Webseite und Herstellen einer Verbindung mit HR-Datenbanken. Nehmen beim Zugriff auf Datenbanken die Identität von Endbenutzern an. |
| Berechtigungen, Bereiche | HR-WEBServer: Lokale Anmeldung; Ausführen der Webseite HR-SQL1: Lokale Anmeldung; Leseberechtigungen für alle HR-Datenbanken HR-SQL2: Lokale Anmeldung; nur Leseberechtigungen für Gehaltsdatenbank |
| Kostenstelle | 123456 |
| Risikobewertung erfolgt | Mittel, Geschäftliche Auswirkungen: Mittel, Private Informationen: Mittel |
| Kontoeinschränkungen | Anmelden bei: nur erwähnte Server, keine Kennwortänderung, MBI-Kennwortrichtlinie |
| Lebensdauer | Nicht eingeschränkt |
| Überprüfungszyklus | Alle zwei Jahre: Durch Besitzer, Sicherheitsteam oder Datenschutzteam |
Risikobewertungen oder formale Überprüfungen von Dienstkonten
Wenn Ihr Konto von einer nicht autorisierten Quelle kompromittiert wurde, müssen Sie die Risiken für die zugehörigen Anwendungen, Dienste und die Infrastruktur bewerten. Berücksichtigen Sie dabei sowohl direkte als auch indirekte Risiken:
- Ressourcen, auf die ein nicht autorisierter Benutzer Zugriff erhalten kann
- Andere Informationen oder Systeme, auf die das Dienstkonto zugreifen kann
- Berechtigungen, die das Konto gewähren kann
- Hinweise oder Signale beim Ändern von Berechtigungen
Nach der Risikobewertung zeigt die Dokumentation wahrscheinlich, dass sich Risiken auf das Konto auswirken:
- Beschränkungen
- Lebensdauer
- Überprüfen der Anforderungen
- Intervall und Prüfer
Erstellen eines Dienstkontos und Anwenden von Kontoeinschränkungen
Hinweis
Erstellen Sie nach der Risikobewertung ein Dienstkonto, und dokumentieren Sie die Ergebnisse in einer CMDB. Richten Sie Kontoeinschränkungen an den Ergebnissen der Risikobewertung aus.
Ziehen Sie die folgenden Einschränkungen in Erwägung, auch wenn einige von ihnen für Ihre Bewertung möglicherweise nicht relevant sind.
- Definieren Sie für Benutzerkonten, die als Dienstkonten verwendet werden, ein realistisches Enddatum.
- Verwenden Sie das Flag Konto läuft ab, um das Datum festzulegen.
- Weitere Informationen: Set-ADAccountExpiration
- Weitere Informationen finden Sie unter Set-ADUser (Active Directory).
- Anforderungen für Kennwortrichtlinien
- Weitere Informationen finden Sie unter Kennwort- und Kontosperrungsrichtlinien für verwaltete Microsoft Entra Domain Services-Domänen.
- Erstellen Sie Konten an einem Ort der Organisationseinheit, an dem sicherstellt ist, dass er nur von wenigen Benutzern verwaltet wird
- Weitere Informationen finden Sie unter Delegieren der Verwaltung von Konten- und Ressourcenorganisationseinheiten.
- Richten Sie eine Überwachung ein, und sammeln Sie Informationen zum Erkennen von Änderungen an Dienstkonten:
- Lesen Sie den Artikel Überwachen von Verzeichnisdienständerungen, und
- informieren Sie sich auf manageengine.com zum Thema Überwachen von Kerberos-Authentifizierungsereignissen in AD.
- Gewähren Sie Kontozugriffs sicherer, bevor es in die Produktion geht.
Überprüfung von Dienstkonten
Planen Sie regelmäßige Überprüfungen von Dienstkonten, insbesondere von solchen, die als mittleres und hohes Risiko eingestuft sind. Solche Überprüfungen können Folgendes umfassen:
- Nachweis des Besitzers zur fortgesetzten Notwendigkeit des Kontos sowie Begründung für Berechtigungen und Umfang
- Überprüfung durch Datenschutz- und Sicherheitsteams, die Upstream- und Downstreamabhängigkeiten umfassen
- Überprüfen der Überwachungsdaten
- Sicherstellen, dass das Konto für den angegebenen Zweck verwendet wird
Aufheben der Bereitstellung von Dienstkonten
Heben Sie die Bereitstellung von Dienstkonten in folgenden Fällen auf:
- Einstellung des Skripts oder der Anwendung, für die das Dienstkonto erstellt wurde
- Einstellung des Skripts oder der Anwendungsfunktion, für die das Dienstkonto verwendet wurde
- Ersetzen des Dienstkontos durch ein anderes
Tun Sie Folgendes beim Aufheben der Bereitstellung:
- Entfernen Sie Berechtigungen und die Überwachung.
- Untersuchen Sie Anmeldungen und Ressourcenzugriffe zugehöriger Dienstkonten, um sicherzustellen, dass es keine Auswirkungen auf sie gibt.
- Verhindern sie die Kontoanmeldung.
- Stellen Sie sicher, dass das Konto nicht mehr benötigt wird, d. h. keine Beanstandung vorliegt.
- Erstellen Sie eine Geschäftsrichtlinie, die festlegt, wie lange diese Konten deaktiviert werden.
- Löschen Sie das Dienstkonto.
- MSAs: siehe Uninstall-ADServiceAccount
- Verwenden Sie PowerShell, oder löschen Sie es manuell aus dem Container für verwaltete Dienstkonten.
- Computer- oder Benutzerkonten: Löschen Sie das Konto manuell aus Active Directory.
Nächste Schritte
Weitere Informationen zum Schutz von Dienstkonten finden Sie in den folgenden Artikeln: