Partage via


Administrer les comptes de service locaux

Active Directory propose quatre types de comptes de service locaux :

Une partie de la gouvernance des comptes de service comprend les éléments suivants :

  • Leur protection, en fonction des exigences et de l’objectif
  • Gestion du cycle de vie des comptes et de leurs informations d’identification
  • Évaluation des comptes de service en fonction des risques et des autorisations
  • S'assurer qu'Active Directory (AD) et Microsoft Entra ID n'ont pas de comptes de service inutilisés, avec des autorisations

Nouveaux principes de compte de service

Lorsque vous créez des comptes de service, tenez compte des informations contenues dans le tableau suivant.

Principe Considération
Mappage de compte de service Connectez le compte de service à un service, à une application ou à un script
Propriété Veillez à ce qu’un propriétaire de compte demande et assume la responsabilité
Étendue Définir l’étendue et prévoir la durée d’utilisation
Objectif Créer des comptes de service dans un seul objectif
Autorisations Appliquez le principe de l’autorisation minimale :
- Ne pas attribuer d’autorisations aux groupes intégrés, tels que les administrateurs
- Supprimer les autorisations d’ordinateur local, le cas échéant
- Personnaliser l’accès et utiliser la délégation AD pour l’accès à l’annuaire
- Utiliser des autorisations d’accès granulaires
- Définir des restrictions d’expiration et d’emplacement de compte sur les comptes de service basés sur l’utilisateur
Utilisation du contrôle et de l'audit - Surveiller les données de connexion et s’assurer qu’elles correspondent à l’utilisation
prévue - Définir des alertes en cas d’utilisation anormale

Restrictions du compte d’utilisateur

Pour les comptes d’utilisateur utilisés en tant que comptes de service, appliquez les paramètres suivants :

  • Expiration du compte : définir le compte de service pour qu’il expire automatiquement, après sa période de révision, sauf si le compte peut continuer
  • LogonWorkstations : restreindre les autorisations de connexion au compte de service
    • S’il s’exécute localement et qu’il a accès aux ressources de la machine, l’empêcher de se connecter ailleurs
  • Impossible de changer le mot de passe : définir le paramètre sur true pour empêcher le compte de service de changer son propre mot de passe

Processus de gestion du cycle de vie

Pour maintenir la sécurité des comptes de service, gérez-les de la création à la désactivation. Utilisez le processus suivant :

  1. Collectez les informations d’utilisation du compte.
  2. Déplacez le compte de service et l’application vers la base de données de gestion de la configuration (CMDB).
  3. Procédez à une évaluation des risques ou à un examen formel.
  4. Créer le compte de service et appliquer des restrictions
  5. Planifier et effectuer des examens récurrents.
  6. Ajustez les autorisations et les étendues selon les besoins.
  7. Supprimez les privilèges d’accès du compte.

Collecter les informations d’utilisation du compte de service

Collectez les informations pertinentes pour chaque compte de service. Le tableau suivant répertorie les informations minimales à collecter. Obtenez ce qui est nécessaire pour la validation de chaque compte.

Données Description
Propriétaire Utilisateur ou groupe responsable du compte de service
Objectif Objectif du compte de service
Autorisations (étendues) Autorisations attendues
Liens CMDB Compte de service de liaison croisée avec le script ou l’application cible et les propriétaires
Risque Résultats d’une évaluation des risques de sécurité
Durée de vie Durée de vie maximale prévue pour planifier l’expiration ou la nouvelle certification du compte

Faites la demande d’un compte en libre-service et exigez les informations pertinentes. Le propriétaire est propriétaire d’une application ou d’une entreprise, membre d’une équipe informatique ou propriétaire d’une infrastructure. Vous pouvez utiliser Microsoft Forms pour les demandes et les informations associées. Si le compte est approuvé, utilisez Microsoft Forms pour le déplacer vers un outil d’inventaire des bases de données de gestion de la configuration (CMDB).

Comptes de service et CMDB

Stockez les informations collectées dans une application CMDB. Incluez des dépendances sur l’infrastructure, les applications et les processus. Utilisez ce référentiel central pour :

  • Évaluation des risques
  • Configuration du compte de service avec des restrictions
  • Déterminer les dépendances fonctionnelles et de sécurité
  • Procéder à des examens réguliers à des fins de sécurité et des besoins continus
  • Contacter le propriétaire pour vérifier, mettre hors service et modifier le compte de service

Exemple de scénario RH

Par exemple, un compte de service qui exécute un site web avec les autorisations nécessaires pour se connecter aux bases de données SQL des Ressources Humaines. Les informations dans le CMDB du compte de service, notamment des exemples, sont dans la table suivante :

Données Exemple
Propriétaire, adjoint(e) Nom, Nom
Objectif Exécuter la page web des RH et se connecter aux bases de données des RH. Emprunter l’identité des utilisateurs finaux lors de l’accès aux bases de données.
Autorisations, étendues HR-WEBServer : se connecter localement, exécuter une page web
HR-SQL1 : se connecter localement, lire les autorisations sur des bases de données de RH
HR-SQL2 : se connecter localement, lire les autorisations sur la base de données Salaires uniquement
Centre de coûts 123456
Risque évalué Moyen ; Impact sur l'activité : Moyen ; Informations privées ; Moyen
Restrictions de compte Connexion : uniquement aux serveurs susmentionnés ; impossible de changer le mot de passe ; stratégie en matière de mot de passe MBI ;
Durée de vie Non restreint
Cycle d’évaluation Bi-annuel : par le propriétaire, l’équipe de sécurité ou l’équipe de confidentialité

Évaluations des risques du compte de service ou évaluations formelles

Si votre compte est compromis par une source non autorisée, évaluez les risques pour les applications, les services et l’infrastructure associés. Tenez compte des risques directs et indirects :

  • Ressources auxquelles un utilisateur non autorisé peut accéder
    • Autres systèmes ou informations auxquels le compte de service a accès
  • Autorisations que le compte peut accorder
    • Indications ou signaux en cas de changement des autorisations

Après l’évaluation des risques, la documentation montre probablement que des risques affectent le compte :

  • Restrictions
  • Durée de vie
  • Examiner les conditions requises
    • Cadence et réviseurs

Créer un compte de service et appliquer des restrictions de compte

Notes

Créez un compte de service après l’évaluation des risques et documentez les résultats dans un CMDB. Alignez les restrictions de compte avec les résultats de l’évaluation des risques.

Tenez compte des restrictions suivantes, même si certaines peuvent ne pas être pertinentes pour votre évaluation.

Évaluations de compte de service

Planifiez des évaluations régulières des comptes de service, en particulier celles classées à risque moyen et élevé. Les évaluations peuvent inclure :

  • Attestation du propriétaire quant au besoin du compte avec une justification des autorisations et des étendues
  • Évaluations de l’équipe de confidentialité et de sécurité qui incluent des dépendances en amont et en aval
  • Auditer l’évaluation des données
  • Vérifier que le compte est utilisé dans le but déclaré

Déprovisionner des comptes de service

Déprovisionnez les comptes de service aux moments suivants :

  • Mise hors service du script ou de l’application pour lesquels le compte de service a été créé
  • Mise hors service de la fonction du script ou de l’application pour lesquels le compte de service a été utilisé
  • Remplacement du compte de service par un autre

Pour déprovisionner :

  1. Supprimez les autorisations et la surveillance.
  2. Examinez les connexions et l’accès aux ressources des comptes de service associés pour vérifier qu’il n’y a aucun effet potentiel sur ceux-ci.
  3. Empêchez la connexion au compte.
  4. Vérifiez que le compte n’est plus nécessaire (il n’existe aucune plainte).
  5. Créez une stratégie d’entreprise qui détermine la durée pendant laquelle les comptes sont désactivés.
  6. Supprimez le compte de service.
  • MSA - voir Uninstall-ADServiceAccount
    • Utilisez PowerShell ou supprimez-le manuellement du conteneur de comptes de service géré
  • Comptes d’ordinateur ou d’utilisateur : supprimer manuellement le compte dans Active Directory

Étapes suivantes

Pour plus d’informations sur la sécurisation des comptes de service, consultez les articles suivants :