On-premises serviceaccounts beheren

  • Artikel

Active Directory biedt vier typen on-premises serviceaccounts:

Onderdeel van serviceaccountbeheer omvat:

  • Ze beschermen, op basis van vereisten en doel
  • Levenscyclus van accounts en hun referenties beheren
  • Serviceaccounts beoordelen op basis van risico en machtigingen
  • Ervoor zorgen dat Active Directory (AD) en Microsoft Entra-id geen ongebruikte serviceaccounts hebben, met machtigingen

Nieuwe principes voor serviceaccounts

Houd rekening met de informatie in de volgende tabel wanneer u serviceaccounts maakt.

Principe Overweging
Toewijzing van serviceaccounts Verbinding maken het serviceaccount naar een service, toepassing of script
Eigendom Zorg ervoor dat er een accounteigenaar is die de verantwoordelijkheid opneemt en aanvraagt
Bereik Definieer het bereik en verwacht de gebruiksduur
Doel Serviceaccounts voor één doel maken
Bevoegdheden Pas het principe van de minste machtiging toe:
- Wijs geen machtigingen toe aan ingebouwde groepen, zoals beheerders
- Verwijder lokale computermachtigingen, waar mogelijk
- Pas toegang aan en gebruik AD-delegatie voor adreslijsttoegang
- Gedetailleerde toegangsmachtigingen
gebruiken - Verloop- en locatiebeperkingen voor accounts op basis van gebruikers instellen
Gebruik bewaken en controleren - Aanmeldingsgegevens bewaken en ervoor zorgen dat deze overeenkomt met het beoogde gebruik
- Waarschuwingen instellen voor afwijkend gebruik

Beperkingen voor gebruikersaccounts

Voor gebruikersaccounts die worden gebruikt als serviceaccounts, past u de volgende instellingen toe:

  • Verlooptijd van het account- stel in dat het serviceaccount automatisch verloopt, na de beoordelingsperiode, tenzij het account kan doorgaan
  • LogonWorkstations - Aanmeldingsmachtigingen voor serviceaccounts beperken
    • Als de computer lokaal wordt uitgevoerd en toegang heeft tot resources op de computer, kunt u het aanmelden ergens anders beperken
  • Kan het wachtwoord niet wijzigen: stel de parameter in op True om te voorkomen dat het serviceaccount een eigen wachtwoord wijzigt

Levenscyclusbeheerproces

Als u de beveiliging van serviceaccounts wilt behouden, beheert u deze van begin tot buiten gebruik stellen. Gebruik het volgende proces:

  1. Verzamel accountgebruiksgegevens.
  2. Verplaats het serviceaccount en de toepassing naar de CMDB (Configuration Management Database).
  3. Voer een risicoanalyse of formele beoordeling uit.
  4. Maak het serviceaccount en pas beperkingen toe.
  5. Plan terugkerende beoordelingen en voer ze uit.
  6. Pas zo nodig machtigingen en bereiken aan.
  7. De inrichting van het account ongedaan maken.

Gebruiksgegevens van serviceaccounts verzamelen

Verzamel relevante informatie voor elk serviceaccount. De volgende tabel bevat de minimale gegevens die moeten worden verzameld. Verkrijg wat er nodig is om elk account te valideren.

'Gegevens Beschrijving
Eigenaar De gebruiker of groep die verantwoordelijk is voor het serviceaccount
Doel Het doel van het serviceaccount
Machtigingen (bereiken) De verwachte machtigingen
CMDB-koppelingen Het serviceaccount voor meerdere koppelingen met het doelscript of de doeltoepassing en eigenaren
Risico De resultaten van een beveiligingsrisico-evaluatie
Levenslang De verwachte maximale levensduur om de vervaldatum of hercertificering van het account te plannen

Maak de selfservice voor het accountaanvraag en vraag de relevante informatie. De eigenaar is een toepassing of bedrijfseigenaar, een IT-teamlid of een eigenaar van de infrastructuur. U kunt Microsoft Forms gebruiken voor aanvragen en bijbehorende informatie. Als het account is goedgekeurd, gebruikt u Microsoft Forms om het account over te zetten naar een hulpprogramma voor configuratiebeheerdatabases (CMDB).

Serviceaccounts en CMDB

Sla de verzamelde gegevens op in een CMDB-toepassing. Neem afhankelijkheden op voor infrastructuur, apps en processen. Gebruik deze centrale opslagplaats voor het volgende:

  • Risico evalueren
  • Het serviceaccount configureren met beperkingen
  • Functionele en beveiligingsafhankelijkheden vaststellen
  • Regelmatig beoordelingen uitvoeren voor beveiliging en voortdurende behoefte
  • Neem contact op met de eigenaar om het serviceaccount te controleren, buiten gebruik te stellen en te wijzigen

Voorbeeld van HR-scenario

Een voorbeeld is een serviceaccount waarmee een website wordt uitgevoerd met machtigingen om verbinding te maken met HUMAN Resources SQL-databases. De informatie in het CMDB-serviceaccount, inclusief voorbeelden, bevindt zich in de volgende tabel:

Gegevens Opmerking
Eigenaar, deputy Naam, naam
Doel De HR-webpagina uitvoeren en verbinding maken met HR-databases. Eindgebruikers imiteren bij het openen van databases.
Machtigingen, bereiken HR-webserver: lokaal aanmelden; webpagina uitvoeren
HR-SQL1: lokaal aanmelden; leesmachtigingen voor HR-databases
HR-SQL2: lokaal aanmelden; alleen leesmachtigingen voor salarisdatabase
Kostenplaats 123456
Risico beoordeeld Gemiddeld; Bedrijfsimpact: gemiddeld; Persoonsgegevens: gemiddeld
Accountbeperkingen Meld u aan bij: alleen bovengenoemde servers; Kan het wachtwoord niet wijzigen; MBI-wachtwoordbeleid;
Levenslang Onbeperkt
Beoordelingscyclus Biannually: Door eigenaar, beveiligingsteam of privacyteam

Risicobeoordelingen van serviceaccounts of formele beoordelingen

Als uw account wordt aangetast door een niet-geautoriseerde bron, beoordeelt u de risico's voor gekoppelde toepassingen, services en infrastructuur. Houd rekening met directe en indirecte risico's:

  • Resources waar een onbevoegde gebruiker toegang toe kan krijgen
    • Andere informatie of systemen die het serviceaccount kan openen
  • Machtigingen die het account kan verlenen
    • Indicaties of signalen wanneer machtigingen veranderen

Na de risicoanalyse toont de documentatie waarschijnlijk aan dat risico's van invloed zijn op het account:

  • Beperkingen
  • Levenslang
  • Vereisten controleren
    • Cadans en revisoren

Een serviceaccount maken en accountbeperkingen toepassen

Notitie

Maak een serviceaccount na de risicoanalyse en documenteer de bevindingen in een CMDB. Accountbeperkingen afstemmen met bevindingen van de risicoanalyse.

Houd rekening met de volgende beperkingen, hoewel sommige mogelijk niet relevant zijn voor uw evaluatie.

Beoordelingen van serviceaccounts

Regelmatig serviceaccountbeoordelingen plannen, met name de classificatie Gemiddeld en Hoog risico. Beoordelingen kunnen het volgende omvatten:

  • Verklaring van eigenaar van de noodzaak van het account, met reden van machtigingen en bereiken
  • Privacy- en beveiligingsteambeoordelingen met upstream- en downstreamafhankelijkheden
  • Controle van gegevensbeoordeling
  • Zorg ervoor dat het account wordt gebruikt voor het vermelde doel

Inrichting van serviceaccounts ongedaan maken

De inrichting van serviceaccounts ongedaan maken op de volgende punten:

  • Buitengebruikstelling van het script of de toepassing waarvoor het serviceaccount is gemaakt
  • Buitengebruikstelling van de script- of toepassingsfunctie waarvoor het serviceaccount is gebruikt
  • Vervanging van het serviceaccount voor een ander account

Ongedaan maken van de inrichting:

  1. Machtigingen en bewaking verwijderen.
  2. Bekijk aanmeldingen en resourcetoegang van gerelateerde serviceaccounts om ervoor te zorgen dat er geen mogelijk effect op is.
  3. Meld u niet aan bij het account.
  4. Zorg ervoor dat het account niet meer nodig is (er is geen klacht).
  5. Maak een bedrijfsbeleid dat bepaalt hoe lang accounts zijn uitgeschakeld.
  6. Verwijder het serviceaccount.
  • MSA's - zie, Uninstall-ADServiceAccount
    • PowerShell gebruiken of handmatig verwijderen uit de container van het beheerde serviceaccount
  • Computer- of gebruikersaccounts : het account handmatig verwijderen uit Active Directory

Volgende stappen

Zie de volgende artikelen voor meer informatie over serviceaccounts: