Bagikan melalui


Mengamankan akun layanan lokal

Layanan memiliki identitas keamanan utama yang menentukan hak akses untuk sumber daya lokal dan jaringan. Konteks keamanan untuk layanan Microsoft Win32 ditentukan oleh akun layanan yang digunakan untuk memulai layanan. Anda menggunakan akun layanan untuk:

  • Mengidentifikasi dan mengautentikasi layanan.
  • Memulai layanan dengan sukses.
  • Mengakses atau mengeksekusi kode atau aplikasi.
  • Memulai proses.

Jenis akun layanan lokal

Berdasarkan kasus penggunaan, Anda dapat menggunakan akun layanan terkelola (MSA), akun komputer, atau akun pengguna untuk menjalankan layanan. Anda harus terlebih dahulu menguji layanan untuk mengonfirmasi bahwa layanan tersebut dapat menggunakan akun layanan terkelola. Jika layanan dapat menggunakan MSA, Anda harus menggunakannya.

Akun layanan terkelola grup

Untuk layanan yang berjalan di lingkungan lokal Anda, gunakan akun layanan terkelola grup (gMSA). gMSA menyediakan solusi identitas tunggal untuk layanan yang berjalan di farm server, atau di belakang penyeimbang muatan jaringan. gMSAs juga dapat digunakan untuk layanan yang berjalan pada satu server. Untuk informasi tentang persyaratan gMSAs, lihat Mulai menggunakan akun layanan terkelola grup.

Akun layanan terkelola mandiri

Jika Anda tidak dapat menggunakan gMSA, gunakan akun layanan terkelola mandiri (sMSA). sMSA memerlukan setidaknya Windows Server 2008 R2. Tidak seperti gMSA, sMSA hanya berjalan pada satu server. sMSA dapat digunakan untuk beberapa layanan di server tersebut.

Akun komputer

Jika Anda tidak dapat menggunakan MSA, pertimbangkan menggunakan akun komputer. Akun LocalSystem adalah akun lokal yang ditentukan sebelumnya yang memiliki hak istimewa yang luas di komputer lokal, dan bertindak sebagai identitas komputer di jaringan.

Layanan yang dijalankan sebagai akun LocalSystem mengakses sumber daya jaringan dengan menggunakan kredensial akun komputer dalam format <domain_name>\<computer_name>. Nama yang telah ditentukan sebelumnya adalah NT AUTHORITY\SYSTEM. Nama dapat digunakan untuk memulai layanan dan memberikan konteks keamanan untuk layanan tersebut.

Catatan

Saat Anda menggunakan akun komputer, Anda tidak dapat menentukan layanan mana di komputer yang menggunakan akun tersebut. Akibatnya, Anda tidak dapat mengaudit layanan mana yang membuat perubahan.

Akun pengguna

Jika Anda tidak dapat menggunakan MSA, pertimbangkan menggunakan akun pengguna. Akun pengguna bisa berupa akun pengguna domain atau akun pengguna lokal.

Akun pengguna domain memungkinkan layanan memanfaatkan sepenuhnya fitur keamanan layanan dari Layanan Active Directory Domain Services Windows dan Microsoft. Layanan ini akan memiliki izin akses lokal dan jaringan yang diberikan ke akun. Layanan ini juga akan memiliki izin grup tempat akun tersebut menjadi anggotanya. Akun layanan domain mendukung autentikasi bersama Kerberos.

Akun pengguna lokal (format nama: .\UserName) hanya ada di database Manajer Akun Keamanan komputer host. Ini tidak memiliki objek pengguna di Layanan Domain Direktori Aktif. Akun lokal tidak dapat diautentikasi oleh domain. Jadi, layanan yang berjalan dalam konteks keamanan akun pengguna lokal tidak memiliki akses ke sumber daya jaringan (kecuali sebagai pengguna anonim). Layanan yang berjalan dalam konteks pengguna lokal tidak dapat mendukung autentikasi bersama Kerberos tempat layanan diautentikasi oleh kliennya. Untuk alasan ini, akun pengguna lokal biasanya tidak sesuai untuk layanan berkemampuan direktori.

Penting

Akun layanan tidak boleh menjadi anggota grup istimewa mana pun, karena keanggotaan grup istimewa memberikan izin yang mungkin merupakan risiko keamanan. Tiap layanan harus memiliki akun layanan sendiri untuk tujuan audit dan keamanan.

Pilih jenis akun layanan yang tepat

Kriteria gMSA sMSA Akun komputer Akun pengguna
Aplikasi berjalan di server tunggal Ya Ya. Gunakan gMSA jika memungkinkan. Ya. Gunakan MSA jika memungkinkan. Ya. Gunakan MSA jika memungkinkan.
Aplikasi berjalan di beberapa server Ya Tidak Nomor. Akun terikat ke server. Ya. Gunakan MSA jika memungkinkan.
Aplikasi berjalan di belakang penyeimbang muatan Ya No Tidak Ya. Gunakan hanya jika Anda tidak dapat menggunakan gMSA.
Aplikasi berjalan di Windows Server 2008 R2 Tidak Ya Ya. Gunakan MSA jika memungkinkan. Ya. Gunakan MSA jika memungkinkan.
Aplikasi berjalan di Windows Server 2012 Ya Ya. Gunakan gMSA jika memungkinkan. Ya. Gunakan MSA jika memungkinkan. Ya. Gunakan MSA jika memungkinkan.
Persyaratan untuk membatasi akun layanan ke server tunggal Tidak Ya Ya. Gunakan sMSA jika memungkinkan. Tidak

Menggunakan log server dan PowerShell untuk menyelidiki

Anda dapat menggunakan log server untuk menentukan server mana, dan berapa banyak server, tempat aplikasi berjalan.

Untuk mendapatkan daftar versi Windows Server untuk semua server di jaringan Anda, Anda dapat menjalankan perintah PowerShell berikut:


Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `

-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

sort-Object -Property Operatingsystem |

Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

Out-GridView

Menemukan akun layanan lokal

Sebaiknya tambahkan awalan seperti "svc-" ke semua akun yang Anda gunakan sebagai akun layanan. Konvensi penamaan ini akan membuatnya lebih mudah ditemukan dan dikelola. Pertimbangkan juga untuk menggunakan atribut deskripsi untuk akun layanan dan pemilik akun layanan. Deskripsi bisa berupa alias tim atau pemilik tim keamanan.

Menemukan akun layanan lokal adalah kunci untuk memastikan keamanan mereka. Mungkin juga sulit untuk akun non-MSA. Sebaiknya tinjau semua akun yang memiliki akses ke sumber daya lokal penting Anda, dan tentukan akun komputer atau pengguna mana yang dapat bertindak sebagai akun layanan.

Untuk mempelajari cara menemukan akun layanan, lihat artikel tentang jenis akun tersebut di bagian "Langkah berikutnya".

Akun layanan dokumen

Setelah menemukan akun layanan di lingkungan lokal Anda, dokumentasikan informasi berikut:

  • Pemilik: Orang yang bertanggung jawab untuk memelihara akun.

  • Tujuan: Aplikasi yang diwakili akun, atau tujuan lainnya.

  • Cakupan izin: Izin yang ia miliki atau harus miliki, dan grup apa pun yang menjadi anggotanya.

  • Profil risiko: Risiko bagi bisnis Anda jika akun ini disusupi. Jika risikonya tinggi, gunakan MSA.

  • Pengesahan seumur hidup dan berkala yang diantisipasi: Berapa lama Anda mengantisipasi bahwa akun ini akan ditayangkan, dan seberapa sering pemilik harus meninjau dan mengesahkan kebutuhannya yang berkelanjutan.

  • Keamanan kata sandi: Untuk akun pengguna dan komputer lokal, tempat kata sandi disimpan. Pastikan kata sandi tetap aman, dan dokumentasikan siapa yang memiliki akses. Pertimbangkan untuk menggunakan Privileged Identity Management untuk mengamankan kata sandi yang disimpan.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang mengamankan akun layanan, lihat artikel berikut ini: