Mengamankan akun layanan berbasis pengguna di Direktori Aktif
Akun pengguna lokal adalah pendekatan tradisional untuk membantu mengamankan layanan yang berjalan di Windows. Saat ini, gunakan akun ini jika akun layanan terkelola grup (gMSA) dan akun layanan terkelola mandiri (sMSA) tidak didukung oleh layanan Anda. Untuk informasi tentang jenis akun yang akan digunakan, lihat Mengamankan akun layanan lokal.
Anda dapat menyelidiki pemindahan layanan Anda ke akun layanan Azure, seperti identitas terkelola atau perwakilan layanan.
Pelajari lebih lanjut:
- Apa identitas terkelola untuk sumber daya Azure?
- Mengamankan perwakilan layanan di ID Microsoft Entra
Anda dapat membuat akun pengguna lokal untuk menyediakan keamanan untuk layanan dan izin yang digunakan akun untuk mengakses sumber daya lokal dan jaringan. Akun pengguna lokal memerlukan manajemen kata sandi manual, seperti akun pengguna Active Directory (AD) lainnya. Administrator layanan dan domain diperlukan untuk mempertahankan proses manajemen kata sandi yang kuat untuk membantu menjaga keamanan akun.
Saat Anda membuat akun pengguna sebagai akun layanan, gunakan untuk satu layanan. Gunakan konvensi penamaan yang mengklarifikasi bahwa itu adalah akun layanan, dan layanan yang terkait dengannya.
Manfaat dan tantangan
Akun pengguna lokal adalah jenis akun serbaguna. Akun pengguna yang digunakan sebagai akun layanan dikontrol oleh kebijakan yang mengatur akun pengguna. Gunakan jika Anda tidak dapat menggunakan MSA. Mengevaluasi apakah akun komputer adalah opsi yang lebih baik.
Tantangan akun pengguna lokal dirangkum dalam tabel berikut:
| Tantangan | Mitigasi |
|---|---|
| Manajemen kata sandi bersifat manual dan menyebabkan keamanan dan waktu henti layanan yang lebih lemah | - Memastikan kompleksitas kata sandi reguler dan bahwa perubahan diatur oleh proses yang mempertahankan kata sandi yang kuat - Mengoordinasikan perubahan kata sandi dengan kata sandi layanan, yang membantu mengurangi waktu henti layanan |
| Mengidentifikasi akun pengguna lokal yang merupakan akun layanan bisa sulit | - Akun layanan dokumen yang disebarkan di lingkungan Anda - Lacak nama akun dan sumber daya yang dapat mereka akses - Pertimbangkan untuk menambahkan awalan svc ke akun pengguna yang digunakan sebagai akun layanan |
Menemukan akun pengguna lokal yang digunakan sebagai akun layanan
Akun pengguna lokal seperti akun pengguna AD lainnya. Mungkin sulit untuk menemukan akun, karena tidak ada atribut akun pengguna yang mengidentifikasinya sebagai akun layanan. Sebaiknya Buat konvensi penamaan untuk akun pengguna yang digunakan sebagai akun layanan. Misalnya, tambahkan awalan svc ke nama layanan: svc-HRData Koneksi or.
Gunakan beberapa kriteria berikut untuk menemukan akun layanan. Namun, pendekatan ini mungkin tidak menemukan akun:
- Tepercaya untuk delegasi
- Dengan nama perwakilan layanan
- Dengan kata sandi yang tidak pernah kedaluwarsa
Untuk menemukan akun pengguna lokal yang digunakan untuk layanan, jalankan perintah PowerShell berikut ini:
Untuk menemukan akun yang dipercaya untuk delegasi:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Untuk menemukan akun dengan nama perwakilan layanan:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Untuk menemukan akun dengan kata sandi yang tidak pernah kedaluwarsa:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Anda dapat mengaudit akses ke sumber daya sensitif, dan mengarsipkan log audit ke sistem manajemen peristiwa dan informasi keamanan (SIEM). Dengan menggunakan Azure Log Analytics atau Microsoft Sentinel, Anda dapat mencari dan menganalisis akun layanan.
Menilai keamanan akun pengguna lokal
Gunakan kriteria berikut untuk menilai keamanan akun pengguna lokal yang digunakan sebagai akun layanan:
- Kebijakan manajemen kata sandi
- Akun dengan keanggotaan dalam grup istimewa
- Izin baca/tulis untuk sumber daya penting
Mengurangi potensi masalah keamanan
Lihat tabel berikut untuk potensi masalah keamanan akun pengguna lokal dan mitigasinya:
| Masalah keamanan | Mitigasi |
|---|---|
| Manajemen kata sandi | - Pastikan kompleksitas kata sandi dan perubahan kata sandi diatur oleh pembaruan reguler dan persyaratan kata sandi yang kuat - Mengoordinasikan perubahan kata sandi dengan pembaruan kata sandi untuk meminimalkan waktu henti layanan |
| Akun adalah anggota grup istimewa | - Tinjau keanggotaan grup - Hapus akun dari grup istimewa - Berikan hak dan izin akun untuk menjalankan layanannya (konsultasikan dengan vendor layanan) - Misalnya, tolak masuk secara lokal atau interaktif |
| Akun memiliki izin baca/tulis ke sumber daya sensitif | - Akses audit ke sumber daya sensitif - Mengarsipkan log audit ke SIEM: Azure Log Analytics atau Microsoft Sentinel - Memulihkan izin sumber daya jika Anda mendeteksi tingkat akses yang tidak diinginkan |
Jenis akun aman
Microsoft tidak merekomendasikan penggunaan akun pengguna lokal sebagai akun layanan. Untuk layanan yang menggunakan jenis akun ini, menilai apakah dapat dikonfigurasi untuk menggunakan gMSA atau sMSA. Selain itu, evaluasi apakah Anda dapat memindahkan layanan ke Azure untuk mengaktifkan penggunaan jenis akun yang lebih aman.
Langkah berikutnya
Untuk mempelajari lebih lanjut cara mengamankan akun layanan: