Helyszíni szolgáltatásfiókok biztonságossá tétele
A szolgáltatás elsődleges biztonsági identitással rendelkezik, amely meghatározza a helyi és hálózati erőforrások hozzáférési jogosultságait. A Microsoft Win32-szolgáltatások biztonsági környezetét a szolgáltatás indításához használt szolgáltatásfiók határozza meg. Szolgáltatásfiókot használ a következőhöz:
- Szolgáltatás azonosítása és hitelesítése.
- A szolgáltatás indítása sikeresen megtörtént.
- Kód vagy alkalmazás elérése vagy végrehajtása.
- Indítsa el a folyamatot.
A helyszíni szolgáltatásfiókok típusai
A használati esettől függően használhat felügyelt szolgáltatásfiókot (MSA), számítógépfiókot vagy felhasználói fiókot egy szolgáltatás futtatásához. Először tesztelnie kell egy szolgáltatást annak ellenőrzéséhez, hogy használhat-e felügyelt szolgáltatásfiókot. Ha a szolgáltatás használhat MSA-t, használja az egyiket.
Felügyelt szolgáltatásfiókok csoportosítása
A helyszíni környezetben futó szolgáltatások esetén lehetőség szerint használjon csoport által felügyelt szolgáltatásfiókokat (gMSA-kat). A gMSA-k egyetlen identitásmegoldást biztosítanak a kiszolgálófarmon vagy egy hálózati terheléselosztó mögött futó szolgáltatásokhoz. A gMSA-k az egyetlen kiszolgálón futó szolgáltatásokhoz is használhatók. A gMSA-k követelményeiről további információt a csoport által felügyelt szolgáltatásfiókok használatának első lépései című témakörben talál.
Önálló felügyelt szolgáltatásfiókok
Ha nem tud gMSA-t használni, használjon önálló felügyelt szolgáltatásfiókot (sMSA). Az sMSA-k használatához legalább Windows Server 2008 R2 szükséges. A gMSA-któl eltérően az sMSA-k csak egy kiszolgálón futnak. Több szolgáltatáshoz is használhatók ezen a kiszolgálón.
Számítógépfiókok
Ha nem tud MSA-t használni, fontolja meg a számítógépfiók használatát. A LocalSystem-fiók egy előre definiált helyi fiók, amely kiterjedt engedélyekkel rendelkezik a helyi számítógépen, és a hálózat számítógép-identitásaként működik.
A LocalSystem-fiókként futó szolgáltatások a számítógépfiók hitelesítő adataival férnek hozzá a hálózati erőforrásokhoz domain_name>\<computer_name> formátumban<. Előre definiált neve NT AUTHORITY\SYSTEM. Ezzel elindíthat egy szolgáltatást, és biztonsági környezetet biztosíthat az adott szolgáltatáshoz.
Megjegyzés:
Számítógépfiók használata esetén nem állapítható meg, hogy a számítógépen melyik szolgáltatás használja ezt a fiókot. Következésképpen nem naplózhatja, hogy melyik szolgáltatás végez módosításokat.
Felhasználói fiókok
Ha nem tud MSA-t használni, fontolja meg egy felhasználói fiók használatát. A felhasználói fiók lehet tartományi vagy helyi felhasználói fiók.
A tartományi felhasználói fiók lehetővé teszi, hogy a szolgáltatás teljes mértékben kihasználja a Windows és a Microsoft Active Directory tartományi szolgáltatások szolgáltatásbiztonsági funkcióit. A szolgáltatás helyi és hálózati engedélyekkel rendelkezik a fiók számára. Emellett rendelkezik azoknak a csoportoknak az engedélyével is, amelyeknek a fiók tagja. A tartományi szolgáltatásfiókok támogatják a Kerberos kölcsönös hitelesítését.
Egy helyi felhasználói fiók (névformátum: .\UserName) csak a gazdaszámítógép Security Account Manager-adatbázisában létezik. Nincs felhasználói objektum a Active Directory tartományi szolgáltatások. A tartomány nem hitelesíthet helyi fiókot. Így egy helyi felhasználói fiók biztonsági környezetében futó szolgáltatás nem rendelkezik hozzáféréssel a hálózati erőforrásokhoz (kivéve egy névtelen felhasználót). A helyi felhasználói környezetben futó szolgáltatások nem támogatják a Kerberos kölcsönös hitelesítését, amelyben a szolgáltatást az ügyfelei hitelesítik. Ezen okok miatt a helyi felhasználói fiókok általában nem megfelelőek a címtáralapú szolgáltatásokhoz.
Fontos
A szolgáltatásfiókok nem lehetnek kiemelt csoportok tagjai, mert a kiemelt csoporttagság olyan engedélyeket biztosít, amelyek biztonsági kockázatot jelenthetnek. Minden szolgáltatásnak saját szolgáltatásfiókjával kell rendelkeznie naplózási és biztonsági célokra.
Válassza ki a megfelelő szolgáltatásfióktípust
Feltétel | gMSA | sMSA | Számítógépfiók | User account |
---|---|---|---|---|
Az alkalmazás egyetlen kiszolgálón fut | Igen | Igen. Ha lehetséges, használjon gMSA-t. | Igen. Ha lehetséges, használjon MSA-t. | Igen. Ha lehetséges, használjon MSA-t. |
Az alkalmazás több kiszolgálón fut | Igen | Nem | Nem. A fiók a kiszolgálóhoz van kötve. | Igen. Ha lehetséges, használjon MSA-t. |
Az alkalmazás terheléselosztó mögött fut | Igen | Nem | Nem | Igen. Csak akkor használja, ha nem tud gMSA-t használni. |
Az alkalmazás Windows Server 2008 R2 rendszeren fut | Nem | Igen | Igen. Ha lehetséges, használjon MSA-t. | Igen. Ha lehetséges, használjon MSA-t. |
Az alkalmazás Windows Server 2012 rendszeren fut | Igen | Igen. Ha lehetséges, használjon gMSA-t. | Igen. Ha lehetséges, használjon MSA-t. | Igen. Ha lehetséges, használjon MSA-t. |
A szolgáltatásfiók egyetlen kiszolgálóra való korlátozásának követelménye | Nem | Igen | Igen. Ha lehetséges, használjon sMSA-t. | Nem |
A kiszolgálónaplók és a PowerShell használata a vizsgálathoz
A kiszolgálónaplókkal meghatározhatja, hogy mely kiszolgálókon és hány kiszolgálón fut egy alkalmazás.
Ha le szeretné kapni a Windows Server-verzió listáját a hálózat összes kiszolgálójához, futtassa a következő PowerShell-parancsot:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
Helyszíni szolgáltatásfiókok keresése
Javasoljuk, hogy minden szolgáltatásfiókhoz adjon hozzá egy előtagot, például "svc-" előtagot. Ez az elnevezési konvenció megkönnyíti a fiókok megtalálását és kezelését. Fontolja meg a szolgáltatásfiók és a szolgáltatásfiók tulajdonosának leírási attribútumának használatát is. A leírás lehet csapat aliasa vagy biztonsági csoport tulajdonosa.
A helyszíni szolgáltatásfiókok megkeresése kulcsfontosságú a biztonságuk biztosításához. Ez a nem MSA-fiókok esetében nehéz lehet. Javasoljuk, hogy tekintse át a fontos helyszíni erőforrásokhoz hozzáféréssel rendelkező összes fiókot, és állapítsa meg, hogy mely számítógép- vagy felhasználói fiókok működhetnek szolgáltatásfiókként.
A szolgáltatásfiókok megkereséséről a fióktípusról a "Következő lépések" szakaszban olvashat.
Dokumentumszolgáltatás-fiókok
Miután megtalálta a szolgáltatásfiókokat a helyszíni környezetben, dokumentálja a következő információkat:
Tulajdonos: A fiók fenntartásáért felelős személy.
Cél: A fiók által képviselt alkalmazás vagy egyéb cél.
Engedély hatókörei: Az engedélyekkel rendelkezik vagy rendelkeznie kell, valamint azokat a csoportokat, amelyeknek tagja.
Kockázati profil: A vállalatot veszélyeztető kockázat, ha ez a fiók veszélybe kerül. Ha a kockázat magas, használjon MSA-t.
Várható élettartam és időszakos igazolás: Mennyi ideig számít arra, hogy ez a fiók élni fog, és milyen gyakran kell a tulajdonosnak áttekintenie és igazolnia a folyamatos igényét.
Jelszóbiztonság: Felhasználói és helyi számítógépfiókok esetén, ahol a jelszó tárolása történik. Győződjön meg arról, hogy a jelszavak biztonságban vannak, és dokumentálja, hogy ki rendelkezik hozzáféréssel. Fontolja meg a Privileged Identity Management használatát a tárolt jelszavak védelméhez.
További lépések
A szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért tekintse meg az alábbi cikkeket: