Mengatur akun layanan lokal
Direktori Aktif menawarkan empat jenis akun layanan lokal:
- Akun layanan yang dikelola grup (gMSA)
- Akun layanan terkelola mandiri (sMSA)
- Akun komputer lokal
- Akun pengguna berfungsi sebagai akun layanan
Bagian dari tata kelola akun layanan meliputi:
- Melindunginya, berdasarkan persyaratan dan tujuan
- Mengelola siklus hidup akun, dan kredensialnya
- Menilai akun layanan, berdasarkan risiko dan izin
- Memastikan Active Directory (AD) dan MICROSOFT Entra ID tidak memiliki akun layanan yang tidak digunakan, dengan izin
Prinsip akun layanan baru
Saat Anda membuat akun layanan, pertimbangkan informasi dalam tabel berikut.
Prinsip | Pertimbangan |
---|---|
Pemetaan akun layanan | Koneksi akun layanan ke layanan, aplikasi, atau skrip |
Kepemilikan | Pastikan ada pemilik akun yang meminta dan bertanggung jawab |
Cakupan | Tentukan cakupan, dan antisipasi durasi penggunaan |
Tujuan | Membuat akun layanan untuk satu tujuan |
Izin | Terapkan prinsip izin paling sedikit: - Jangan tetapkan izin ke grup bawaan, seperti administrator - Hapus izin komputer lokal, jika memungkinkan - Sesuaikan akses, dan gunakan delegasi AD untuk akses direktori - Gunakan izin akses terperinci - Mengatur kedaluwarsa akun dan pembatasan lokasi pada akun layanan berbasis pengguna |
Memantau dan mengaudit penggunaan | - Memantau data masuk, dan memastikannya cocok dengan penggunaan yang dimaksudkan - Atur pemberitahuan untuk penggunaan anomali |
Pembatasan akun pengguna
Untuk akun pengguna yang digunakan sebagai akun layanan, terapkan pengaturan berikut:
- Kedaluwarsa akun - atur akun layanan kedaluwarsa secara otomatis, setelah periode peninjauannya, kecuali akun dapat dilanjutkan
- LogonWorkstations - membatasi izin masuk akun layanan
- Jika berjalan secara lokal dan mengakses sumber daya pada komputer, batasi agar tidak masuk ke tempat lain
- Tidak dapat mengubah kata sandi - atur parameter ke true untuk mencegah akun layanan mengubah kata sandinya sendiri
Proses manajemen siklus hidup
Untuk membantu menjaga keamanan akun layanan, kelola dari awal hingga penonaktifan. Gunakan proses berikut:
- Kumpulkan informasi penggunaan akun.
- Orientasikan akun layanan dan aplikasi ke database pengelolaan konfigurasi (CMDB).
- Lakukan penilaian risiko atau tinjauan formal.
- Buat akun layanan dan terapkan pembatasan.
- Jadwalkan dan lakukan tinjauan rutin.
- Sesuaikan izin dan cakupan sesuai kebutuhan.
- Batalkan provisi akun.
Mengumpulkan informasi penggunaan akun layanan
Kumpulkan informasi yang relevan untuk setiap akun layanan. Tabel berikut mencantumkan informasi minimum yang akan dikumpulkan. Dapatkan apa yang diperlukan untuk memvalidasi setiap akun.
Data | Deskripsi |
---|---|
Pemilik | Akuntabel pengguna atau grup untuk akun layanan |
Tujuan | Tujuan akun layanan |
Izin (cakupan) | Izin yang diharapkan |
Tautan CMDB | Akun layanan lintas tautan dengan skrip atau aplikasi target, dan pemilik |
Risiko | Hasil penilaian risiko keamanan |
Seumur hidup | Masa pakai maksimum yang diantisipasi untuk menjadwalkan kedaluwarsa atau sertifikasi ulang akun |
Buat permintaan akun layanan mandiri, dan perlu informasi yang relevan. Pemiliknya adalah pemilik aplikasi atau bisnis, anggota tim TI, atau pemilik infrastruktur. Anda dapat menggunakan Microsoft Forms untuk permintaan dan informasi terkait. Jika akun disetujui, gunakan Microsoft Forms untuk memindahkannya ke alat inventori database manajemen konfigurasi (CMDB).
Akun layanan dan CMDB
Simpan informasi yang dikumpulkan dalam aplikasi CMDB. Sertakan dependensi pada infrastruktur, aplikasi, dan proses. Gunakan repositori pusat ini untuk:
- Menilai risiko
- Mengonfigurasi akun layanan dengan pembatasan
- Memastikan dependensi fungsi dan keamanan
- Melakukan tinjauan rutin untuk keamanan dan kebutuhan yang berkelanjutan
- Hubungi pemilik untuk meninjau, menghentikan, dan mengubah akun layanan
Contoh skenario HR
Contohnya adalah akun layanan yang menjalankan situs web dengan izin untuk menyambungkan ke database SQL Sumber Daya Manusia. Informasi dalam CMDB akun layanan, termasuk contoh, ada dalam tabel berikut:
Data | Contoh |
---|---|
Pemilik, Deputi | Nama, Nama |
Tujuan | Jalankan halaman web SDM dan sambungkan ke database SDM. Meniru pengguna akhir saat mengakses database. |
Izin, cakupan | HR-WEBServer: masuk secara lokal, jalankan halaman web HR-SQL1: masuk secara lokal; izin baca pada database SDM HR-SQL2: masuk secara lokal; izin baca hanya pada database Gaji |
Pusat biaya | 123456 |
Risiko dinilai | Sedang; Dampak Bisnis: Sedang; informasi pribadi; Sedang |
Pembatasan akun | Masuk ke: hanya server yang disebutkan di atas; Tidak dapat mengubah kata sandi; Kebijakan Kata Sandi MBI; |
Seumur hidup | Tidak dibatasi |
Tinjau siklus | Dua tahunan: Oleh pemilik, tim keamanan, atau tim privasi |
Penilaian risiko akun layanan atau ulasan formal
Jika akun Anda disusupi oleh sumber yang tidak sah, nilai risiko terhadap aplikasi, layanan, dan infrastruktur terkait. Pertimbangkan risiko langsung dan tidak langsung:
- Sumber daya yang dapat diakses pengguna yang tidak sah
- Informasi atau sistem lain yang dapat diakses akun layanan
- Izin yang dapat diberikan akun
- Indikasi atau sinyal saat izin berubah
Setelah penilaian risiko, dokumentasi kemungkinan menunjukkan bahwa risiko memengaruhi akun:
- Batasan
- Seumur hidup
- Meninjau persyaratan
- Irama dan peninjau
Membuat akun layanan dan menerapkan pembatasan akun
Catatan
Buat akun layanan setelah penilaian risiko, dan dokumentasikan temuan dalam CMDB. Menyelaraskan pembatasan akun dengan temuan penilaian risiko.
Pertimbangkan batasan berikut, meskipun beberapa mungkin tidak relevan dengan penilaian Anda.
- Untuk akun pengguna yang digunakan sebagai akun layanan, tentukan tanggal akhir yang realistis
- Gunakan bendera Kedaluwarsa Akun untuk mengatur tanggal
- Pelajari selengkapnya: Set-ADAccountExpiration
- Lihat, Set-ADUser (Direktori Aktif)
- Persyaratan kebijakan kata sandi
- Membuat akun di lokasi unit organisasi yang memastikan hanya beberapa pengguna yang akan mengelolanya
- Siapkan dan kumpulkan audit yang mendeteksi perubahan akun layanan:
- Lihat, Mengaudit Perubahan Layanan Direktori, dan
- Buka manageengine.com cara mengaudit peristiwa autentikasi Kerberos di AD
- Memberikan akses akun dengan lebih aman sebelum masuk ke produksi
Ulasan akun layanan
Jadwalkan ulasan akun layanan reguler, terutama yang diklasifikasikan Risiko Sedang dan Tinggi. Ulasan dapat mencakup:
- Pengesahan pemilik kebutuhan akun, dengan pertimbangan izin dan cakupan
- Ulasan tim privasi dan keamanan yang mencakup dependensi hulu dan hilir
- Tinjauan data audit
- Pastikan akun digunakan untuk tujuan yang dinyatakan
Akun layanan Deprovision
Deprovisi akun layanan pada persinggahan berikut:
- Penghentian skrip atau aplikasi tempat akun layanan dibuat
- Penghentian fungsi skrip atau aplikasi, yang akun layanannya digunakan
- Penggantian akun layanan untuk akun lain
Untuk mendeprovisi:
- Hapus izin dan pemantauan.
- Periksa rincian masuk dan akses sumber daya akun layanan terkait untuk memastikan tidak ada efek potensial pada mereka.
- Cegah masuk akun.
- Pastikan akun tidak lagi diperlukan (tidak ada keluhan).
- Buat kebijakan bisnis yang menentukan jumlah waktu akun dinonaktifkan.
- Hapus akun layanan.
- MSA - lihat, Uninstall-ADServiceAccount
- Menggunakan PowerShell, atau menghapusnya secara manual dari kontainer akun layanan terkelola
- Akun komputer atau pengguna - hapus akun secara manual dari Direktori Aktif
Langkah berikutnya
Untuk mempelajari selengkapnya tentang mengamankan akun layanan, lihat artikel berikut ini: