Helyszíni számítógépfiókok védelme az Active Directoryval

A számítógépfiókok vagy LocalSystem-fiókok kiemelt jogosultságokkal rendelkeznek, és szinte minden erőforráshoz hozzáférnek a helyi számítógépen. A fiók nincs bejelentkezett felhasználói fiókokhoz társítva. A szolgáltatások LocalSystem-ként futnak, és a számítógép hitelesítő adatait a távoli kiszolgálóknak a formátumban <domain_name>\\<computer_name>$jelenítik meg. A számítógépfiók előre definiált neve .NT AUTHORITY\SYSTEM Elindíthat egy szolgáltatást, és biztonsági környezetet biztosíthat az adott szolgáltatáshoz.

A számítógépfiókok használatának előnyei

A számítógépfiókok előnyei a következők:

• Korlátlan helyi hozzáférés – a számítógépfiók teljes hozzáférést biztosít a gép helyi erőforrásaihoz
• Automatikus jelszókezelés – eltávolítja a manuálisan módosított jelszavak szükségességét. A fiók az Active Directory tagja, és jelszava automatikusan módosul. Számítógépfiók esetén nincs szükség a szolgáltatásnév regisztrálására.
• Korlátozott hozzáférési jogosultságok gépen kívül – a Active Directory tartományi szolgáltatások (AD DS) alapértelmezett hozzáférés-vezérlési listája minimális hozzáférést biztosít a számítógépfiókokhoz. A jogosulatlan felhasználók hozzáférése során a szolgáltatás korlátozott hozzáféréssel rendelkezik a hálózati erőforrásokhoz.

Számítógépfiók biztonsági helyzetének felmérése

Az alábbi táblázat segítségével áttekintheti a számítógépfiókokkal kapcsolatos lehetséges problémákat és megoldásokat.

Számítógépfiók-probléma	Mitigation
A számítógépfiókok törlésének és újbóli létrehozásának feltétele, amikor a számítógép elhagyja és újracsatlakoztatja a tartományt.	Erősítse meg a számítógép Active Directory-csoporthoz való hozzáadásának követelményét. A csoporthoz hozzáadott számítógépfiókok ellenőrzéséhez használja a következő szakaszban található szkripteket.
Ha számítógépfiókot ad hozzá egy csoporthoz, a számítógépen LocalSystem néven futó szolgáltatások csoporthozzáférési jogosultságokat kapnak.	Legyen szelektív a számítógépfiók-csoporttagságokkal kapcsolatban. Ne hozzon létre számítógépfiókot tartományi rendszergazdai csoport tagjának. A társított szolgáltatás teljes hozzáféréssel rendelkezik az AD DS-hez.
A LocalSystem helytelen hálózati alapértelmezései.	Ne feltételezze, hogy a számítógépfiók alapértelmezetten korlátozott hozzáféréssel rendelkezik a hálózati erőforrásokhoz. Ehelyett erősítse meg a fiók csoporttagságait.
Ismeretlen szolgáltatások, amelyek LocalSystem néven futnak.	Győződjön meg arról, hogy a LocalSystem-fiókban futó szolgáltatások Microsoft-szolgáltatások vagy megbízható szolgáltatások.

Szolgáltatások és számítógépfiókok keresése

A számítógépfiók alatt futó szolgáltatások megkereséséhez használja a következő PowerShell-parancsmagot:

Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}

Egy adott csoporthoz tartozó számítógépfiókok megkereséséhez futtassa a következő PowerShell-parancsmagot:

Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf

Az identitásadminisztrátorcsoportok (tartományi rendszergazdák, vállalati rendszergazdák és rendszergazdák) tagjait tartalmazó számítógépfiókok megkereséséhez futtassa a következő PowerShell-parancsmagot:

Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"

Számítógépfiókra vonatkozó javaslatok

Fontos

A számítógépfiókok kiemelt jogosultságokkal rendelkeznek, ezért akkor használják őket, ha a szolgáltatás korlátlan hozzáférést igényel a helyi erőforrásokhoz, a gépen, és nem használhat felügyelt szolgáltatásfiókot (MSA).

• Ellenőrizze, hogy a szolgáltatástulajdonos szolgáltatása MSA-val fut-e
• Csoportosan felügyelt szolgáltatásfiók (gMSA) vagy önálló felügyelt szolgáltatásfiók (sMSA) használata, ha a szolgáltatás támogatja
• Tartományi felhasználói fiók használata a szolgáltatás futtatásához szükséges engedélyekkel

További lépések

A szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Helyszíni szolgáltatásfiókok biztonságossá tétele
• Biztonságos csoport által felügyelt szolgáltatásfiókok
• Önálló felügyelt szolgáltatásfiókok biztonságossá tétele
• Felhasználóalapú szolgáltatásfiókok védelme az Active Directoryban
• Helyszíni szolgáltatásfiókok szabályozása