Administrer les comptes de service locaux
Active Directory propose quatre types de comptes de service locaux :
- Comptes de service géré de groupe (gMSA)
- Comptes de services gérés autonomes (sMSA)
- Comptes d’ordinateur locaux
- Comptes d'utilisateur fonctionnant comme des comptes de service
Une partie de la gouvernance des comptes de service comprend les éléments suivants :
- Leur protection, en fonction des exigences et de l’objectif
- Gestion du cycle de vie des comptes et de leurs informations d’identification
- Évaluation des comptes de service en fonction des risques et des autorisations
- S'assurer qu'Active Directory (AD) et Microsoft Entra ID n'ont pas de comptes de service inutilisés, avec des autorisations
Nouveaux principes de compte de service
Lorsque vous créez des comptes de service, tenez compte des informations contenues dans le tableau suivant.
| Principe | Considération |
|---|---|
| Mappage de compte de service | Connectez le compte de service à un service, à une application ou à un script |
| Propriété | Veillez à ce qu’un propriétaire de compte demande et assume la responsabilité |
| Étendue | Définir l’étendue et prévoir la durée d’utilisation |
| Objectif | Créer des comptes de service dans un seul objectif |
| Autorisations | Appliquez le principe de l’autorisation minimale : - Ne pas attribuer d’autorisations aux groupes intégrés, tels que les administrateurs - Supprimer les autorisations d’ordinateur local, le cas échéant - Personnaliser l’accès et utiliser la délégation AD pour l’accès à l’annuaire - Utiliser des autorisations d’accès granulaires - Définir des restrictions d’expiration et d’emplacement de compte sur les comptes de service basés sur l’utilisateur |
| Utilisation du contrôle et de l'audit | - Surveiller les données de connexion et s’assurer qu’elles correspondent à l’utilisation prévue - Définir des alertes en cas d’utilisation anormale |
Restrictions du compte d’utilisateur
Pour les comptes d’utilisateur utilisés en tant que comptes de service, appliquez les paramètres suivants :
- Expiration du compte : définir le compte de service pour qu’il expire automatiquement, après sa période de révision, sauf si le compte peut continuer
- LogonWorkstations : restreindre les autorisations de connexion au compte de service
- S’il s’exécute localement et qu’il a accès aux ressources de la machine, l’empêcher de se connecter ailleurs
- Impossible de changer le mot de passe : définir le paramètre sur true pour empêcher le compte de service de changer son propre mot de passe
Processus de gestion du cycle de vie
Pour maintenir la sécurité des comptes de service, gérez-les de la création à la désactivation. Utilisez le processus suivant :
- Collectez les informations d’utilisation du compte.
- Déplacez le compte de service et l’application vers la base de données de gestion de la configuration (CMDB).
- Procédez à une évaluation des risques ou à un examen formel.
- Créer le compte de service et appliquer des restrictions
- Planifier et effectuer des examens récurrents.
- Ajustez les autorisations et les étendues selon les besoins.
- Supprimez les privilèges d’accès du compte.
Collecter les informations d’utilisation du compte de service
Collectez les informations pertinentes pour chaque compte de service. Le tableau suivant répertorie les informations minimales à collecter. Obtenez ce qui est nécessaire pour la validation de chaque compte.
| Données | Description |
|---|---|
| Propriétaire | Utilisateur ou groupe responsable du compte de service |
| Objectif | Objectif du compte de service |
| Autorisations (étendues) | Autorisations attendues |
| Liens CMDB | Compte de service de liaison croisée avec le script ou l’application cible et les propriétaires |
| Risque | Résultats d’une évaluation des risques de sécurité |
| Durée de vie | Durée de vie maximale prévue pour planifier l’expiration ou la nouvelle certification du compte |
Faites la demande d’un compte en libre-service et exigez les informations pertinentes. Le propriétaire est propriétaire d’une application ou d’une entreprise, membre d’une équipe informatique ou propriétaire d’une infrastructure. Vous pouvez utiliser Microsoft Forms pour les demandes et les informations associées. Si le compte est approuvé, utilisez Microsoft Forms pour le déplacer vers un outil d’inventaire des bases de données de gestion de la configuration (CMDB).
Comptes de service et CMDB
Stockez les informations collectées dans une application CMDB. Incluez des dépendances sur l’infrastructure, les applications et les processus. Utilisez ce référentiel central pour :
- Évaluation des risques
- Configuration du compte de service avec des restrictions
- Déterminer les dépendances fonctionnelles et de sécurité
- Procéder à des examens réguliers à des fins de sécurité et des besoins continus
- Contacter le propriétaire pour vérifier, mettre hors service et modifier le compte de service
Exemple de scénario RH
Par exemple, un compte de service qui exécute un site web avec les autorisations nécessaires pour se connecter aux bases de données SQL des Ressources Humaines. Les informations dans le CMDB du compte de service, notamment des exemples, sont dans la table suivante :
| Données | Exemple |
|---|---|
| Propriétaire, adjoint(e) | Nom, Nom |
| Objectif | Exécuter la page web des RH et se connecter aux bases de données des RH. Emprunter l’identité des utilisateurs finaux lors de l’accès aux bases de données. |
| Autorisations, étendues | HR-WEBServer : se connecter localement, exécuter une page web HR-SQL1 : se connecter localement, lire les autorisations sur des bases de données de RH HR-SQL2 : se connecter localement, lire les autorisations sur la base de données Salaires uniquement |
| Centre de coûts | 123456 |
| Risque évalué | Moyen ; Impact sur l'activité : Moyen ; Informations privées ; Moyen |
| Restrictions de compte | Connexion : uniquement aux serveurs susmentionnés ; impossible de changer le mot de passe ; stratégie en matière de mot de passe MBI ; |
| Durée de vie | Non restreint |
| Cycle d’évaluation | Bi-annuel : par le propriétaire, l’équipe de sécurité ou l’équipe de confidentialité |
Évaluations des risques du compte de service ou évaluations formelles
Si votre compte est compromis par une source non autorisée, évaluez les risques pour les applications, les services et l’infrastructure associés. Tenez compte des risques directs et indirects :
- Ressources auxquelles un utilisateur non autorisé peut accéder
- Autres systèmes ou informations auxquels le compte de service a accès
- Autorisations que le compte peut accorder
- Indications ou signaux en cas de changement des autorisations
Après l’évaluation des risques, la documentation montre probablement que des risques affectent le compte :
- Restrictions
- Durée de vie
- Examiner les conditions requises
- Cadence et réviseurs
Créer un compte de service et appliquer des restrictions de compte
Notes
Créez un compte de service après l’évaluation des risques et documentez les résultats dans un CMDB. Alignez les restrictions de compte avec les résultats de l’évaluation des risques.
Tenez compte des restrictions suivantes, même si certaines peuvent ne pas être pertinentes pour votre évaluation.
- Pour les comptes d’utilisateur employés en guise de comptes de service, définissez une date de fin réaliste
- Utiliser l’indicateur Expiration du compte pour définir la date
- En savoir plus : Set-ADAccountExpiration
- Consultez Set-ADUser (Active Directory)
- Exigences en matière de stratégie de mot de passe
- Créer des comptes dans un emplacement d’UO qui garantit que seuls certains utilisateurs le géreront
- Configuration et collecte d’un audit qui détecte les modifications apportées au compte de service :
- Consultez Audit Directory Service Changes, et
- Accédez à manageengine.com pour savoirComment auditer les événements d’authentification Kerberos dans AD
- Accorder l’accès au compte de manière plus sécurisée avant sa mise en production
Évaluations de compte de service
Planifiez des évaluations régulières des comptes de service, en particulier celles classées à risque moyen et élevé. Les évaluations peuvent inclure :
- Attestation du propriétaire quant au besoin du compte avec une justification des autorisations et des étendues
- Évaluations de l’équipe de confidentialité et de sécurité qui incluent des dépendances en amont et en aval
- Auditer l’évaluation des données
- Vérifier que le compte est utilisé dans le but déclaré
Déprovisionner des comptes de service
Déprovisionnez les comptes de service aux moments suivants :
- Mise hors service du script ou de l’application pour lesquels le compte de service a été créé
- Mise hors service de la fonction du script ou de l’application pour lesquels le compte de service a été utilisé
- Remplacement du compte de service par un autre
Pour déprovisionner :
- Supprimez les autorisations et la surveillance.
- Examinez les connexions et l’accès aux ressources des comptes de service associés pour vérifier qu’il n’y a aucun effet potentiel sur ceux-ci.
- Empêchez la connexion au compte.
- Vérifiez que le compte n’est plus nécessaire (il n’existe aucune plainte).
- Créez une stratégie d’entreprise qui détermine la durée pendant laquelle les comptes sont désactivés.
- Supprimez le compte de service.
- MSA - voir Uninstall-ADServiceAccount
- Utilisez PowerShell ou supprimez-le manuellement du conteneur de comptes de service géré
- Comptes d’ordinateur ou d’utilisateur : supprimer manuellement le compte dans Active Directory
Étapes suivantes
Pour plus d’informations sur la sécurisation des comptes de service, consultez les articles suivants :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour