Felhasználóalapú szolgáltatásfiókok védelme az Active Directoryban
A helyszíni felhasználói fiókok voltak a windowsos rendszereken futó szolgáltatások biztonságossá tételének hagyományos megközelítése. Ma ezeket a fiókokat akkor használja, ha a szolgáltatás nem támogatja a csoport által felügyelt szolgáltatásfiókokat (gMSA-kat) és az önálló felügyelt szolgáltatásfiókokat (sMSA-kat). A használni kívánt fióktípussal kapcsolatos információkért lásd a helyszíni szolgáltatásfiókok biztonságossá tételét ismertető témakört.
Megvizsgálhatja egy Azure-szolgáltatásfiók, például egy felügyelt identitás vagy egy szolgáltatásnév áthelyezését.
További információ:
- Mik az Azure-erőforrások felügyelt identitásai?
- Szolgáltatásnevek védelme a Microsoft Entra-azonosítóban
Helyszíni felhasználói fiókokat hozhat létre, amelyek biztosítják a helyi és hálózati erőforrások eléréséhez használt szolgáltatások és engedélyek biztonságát. A helyszíni felhasználói fiókok manuális jelszókezelést igényelnek, például más Active Directory-(AD-) felhasználói fiókokat. A szolgáltatás- és tartománygazdáknak erős jelszókezelési folyamatokat kell fenntartaniuk a fiókok biztonsága érdekében.
Amikor szolgáltatásfiókként hoz létre felhasználói fiókot, használja azt egy szolgáltatáshoz. Használjon egy elnevezési konvenciót, amely tisztázza, hogy az egy szolgáltatásfiók, és az ahhoz kapcsolódó szolgáltatás.
Előnyök és kihívások
A helyszíni felhasználói fiókok sokoldalú fióktípusok. A szolgáltatásfiókként használt felhasználói fiókokat a felhasználói fiókokra vonatkozó szabályzatok szabályozzák. Használja őket, ha nem tud MSA-t használni. Értékelje ki, hogy a számítógépfiók jobb megoldás-e.
A helyszíni felhasználói fiókok kihívásait az alábbi táblázat foglalja össze:
| Feladat | Mitigation |
|---|---|
| A jelszókezelés manuális, és gyengébb biztonsági és szolgáltatás-állásidőt eredményez | - Biztosítsa a jelszó rendszeres összetettségét, és hogy a módosításokat erős jelszavakat fenntartó folyamat szabályozza – A jelszómódosítások koordinálása szolgáltatásjelszóval, amely segít csökkenteni a szolgáltatás állásidejét |
| A szolgáltatásfióknak minősülő helyszíni felhasználói fiókok azonosítása nehézkes lehet | - A környezetben üzembe helyezett szolgáltatásfiókok dokumentálása – A fiók nevének és az általuk elérhető erőforrásoknak a nyomon követése – Fontolja meg az svc előtag hozzáadását a szolgáltatásfiókként használt felhasználói fiókokhoz |
Szolgáltatásfiókként használt helyszíni felhasználói fiókok keresése
A helyszíni felhasználói fiókok olyanok, mint a többi AD-felhasználói fiók. Nehéz lehet megtalálni a fiókokat, mert egyetlen felhasználói fiók attribútum sem azonosítja azt szolgáltatásfiókként. Javasoljuk, hogy hozzon létre egy elnevezési konvenciót a szolgáltatásfiókként használt felhasználói fiókokhoz. Adja hozzá például az svc előtagot egy szolgáltatásnévhez: svc-HRData Csatlakozás or.
A szolgáltatásfiókok megkereséséhez használja az alábbi feltételek némelyikét. Előfordulhat azonban, hogy ez a módszer nem talál fiókokat:
- Megbízható delegáláshoz
- Egyszerű szolgáltatásnévvel
- Olyan jelszavakkal, amelyek soha nem járnak le
A szolgáltatásokhoz használt helyszíni felhasználói fiókok megkereséséhez futtassa a következő PowerShell-parancsokat:
A delegáláshoz megbízható fiókok megkeresése:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Szolgáltatásnévnevekkel rendelkező fiókok megkeresése:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Olyan jelszavakkal rendelkező fiókok megkeresése, amelyek soha nem járnak le:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Naplózhatja a bizalmas erőforrásokhoz való hozzáférést, és archiválhatja az auditnaplókat egy biztonsági információ- és eseménykezelő (SIEM) rendszerbe. Az Azure Log Analytics vagy a Microsoft Sentinel használatával szolgáltatási fiókokat kereshet és elemezhet.
Helyszíni felhasználói fiók biztonságának felmérése
A szolgáltatásfiókként használt helyszíni felhasználói fiókok biztonságának felméréséhez használja az alábbi feltételeket:
- Jelszókezelési szabályzat
- Kiemelt csoportokban tagsággal rendelkező fiókok
- Fontos erőforrások olvasási/írási engedélyei
Lehetséges biztonsági problémák elhárítása
A helyszíni felhasználói fiókok esetleges biztonsági problémáit és azok megoldásait az alábbi táblázatban találhatja meg:
| Biztonsági probléma | Mitigation |
|---|---|
| Jelszókezelés | - Győződjön meg arról, hogy a jelszó összetettségét és a jelszóváltoztatást a rendszeres frissítések és az erős jelszókövetelmények szabályozzák – A jelszómódosítások és a jelszófrissítés koordinálása a szolgáltatás állásideje minimalizálása érdekében |
| A fiók a kiemelt csoportok tagja | - Csoporttagság áttekintése – A fiók eltávolítása a kiemelt csoportokból – Jogosultságok és engedélyek biztosítása a fiók számára a szolgáltatás futtatásához (forduljon a szolgáltatás szállítójához) – Például megtagadhatja a helyi vagy interaktív bejelentkezést |
| A fiók olvasási/írási engedélyekkel rendelkezik a bizalmas erőforrásokhoz | - Bizalmas erőforrásokhoz való hozzáférés naplózása – Naplók archiválása SIEM-hez: Azure Log Analytics vagy Microsoft Sentinel – Erőforrás-engedélyek szervizelése, ha nemkívánatos hozzáférési szinteket észlel |
Biztonságos fióktípusok
A Microsoft nem javasolja a helyszíni felhasználói fiókok szolgáltatásfiókként való használatát. Az ilyen fióktípust használó szolgáltatások esetében mérje fel, hogy konfigurálható-e gMSA vagy sMSA használatára. Emellett értékelje ki, hogy áthelyezheti-e a szolgáltatást az Azure-ba, hogy biztonságosabb fióktípusokat használhasson.
További lépések
További információ a szolgáltatásfiókok biztonságossá tételéről: