Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Active Directory biedt vier typen on-premises serviceaccounts:
- Door groepen beheerde serviceaccounts (gMSA's)
- Zelfstandige beheerde serviceaccounts (sMSA's)
- Lokale computeraccounts
- Gebruikersaccounts die werken als serviceaccounts
Onderdeel van serviceaccountbeheer omvat:
- Ze beschermen, op basis van vereisten en doel
- Levenscyclus van accounts en hun inloggegevens beheren
- Serviceaccounts beoordelen op basis van risico en machtigingen
- Ervoor zorgen dat Active Directory (AD) en Microsoft Entra-id geen ongebruikte serviceaccounts hebben, met machtigingen
Nieuwe principes voor serviceaccounts
Houd rekening met de informatie in de volgende tabel wanneer u serviceaccounts maakt.
| Principe | Overweging |
|---|---|
| Serviceaccounttoewijzing | Het serviceaccount verbinden met een service, toepassing of script |
| Eigendom | Zorg ervoor dat er een accounteigenaar is die de verantwoordelijkheid aanvraagt en opneemt. |
| Omvang | Definieer het bereik en verwacht de gebruiksduur |
| Doel | Serviceaccounts voor één doel maken |
| Machtigingen | Pas het principe van de minste machtiging toe: - Wijs geen machtigingen toe aan ingebouwde groepen, zoals beheerders - Verwijder lokale computermachtigingen, waar mogelijk - Pas toegang aan en gebruik AD-delegatie voor adreslijsttoegang - Gedetailleerde toegangsmachtigingen gebruiken - Verloop- en locatiebeperkingen voor accounts op basis van gebruikers instellen |
| Gebruik monitoren en auditen | - Aanmeldingsgegevens bewaken en ervoor zorgen dat deze overeenkomt met het beoogde gebruik - Waarschuwingen instellen voor afwijkend gebruik |
Beperkingen voor gebruikersaccounts
Voor gebruikersaccounts die worden gebruikt als serviceaccounts, past u de volgende instellingen toe:
- Verlooptijd van het account- stel in dat het serviceaccount automatisch verloopt, na de beoordelingsperiode, tenzij het account kan doorgaan
-
LogonWorkstations - Beperk aanmeldingsrechten voor serviceaccounts
- Als een programma lokaal draait en toegang heeft tot resources op de machine, moet u de aanmeldingen elders beperken.
- Kan het wachtwoord niet wijzigen : stel de parameter in op True om te voorkomen dat het serviceaccount een eigen wachtwoord wijzigt
Levenscyclusbeheerproces
Om de beveiliging van serviceaccounts te behouden, beheert u deze vanaf de oprichting tot aan de buitengebruikstelling. Gebruik het volgende proces:
- Verzamel accountgebruiksgegevens.
- Verplaats het serviceaccount en de app naar de CMDB (Configuration Management Database).
- Risicoanalyse of een formele beoordeling uitvoeren.
- Maak het serviceaccount en pas beperkingen toe.
- Terugkerende beoordelingen plannen en uitvoeren.
- Pas indien nodig machtigingen en toegangsrechten aan.
- Het account uitschakelen.
Gebruiksgegevens van serviceaccounts verzamelen
Verzamel relevante informatie voor elk serviceaccount. De volgende tabel bevat de minimale gegevens die moeten worden verzameld. Verkrijg wat er nodig is om elk account te valideren.
| Gegevens | Beschrijving |
|---|---|
| Eigenaar | De gebruiker of groep die verantwoordelijk is voor het serviceaccount |
| Doel | Het doel van het serviceaccount |
| Machtigingen (toepassingsgebieden) | De verwachte machtigingen |
| CMDB-koppelingen | Het cross-link serviceaccount met het doelscript of de doeltoepassing, en diens eigenaren |
| Risico | De resultaten van een beveiligingsrisico-evaluatie |
| Levensduur | De verwachte maximale levensduur om de vervaldatum of hercertificering van het account te plannen |
Vraag om zelfstandige accountaanvragen en vereis de relevante informatie. De eigenaar is een toepassing of bedrijfseigenaar, een IT-teamlid of een eigenaar van de infrastructuur. U kunt Microsoft Forms gebruiken voor aanvragen en bijbehorende informatie. Als het account is goedgekeurd, gebruikt u Microsoft Forms om het account over te zetten naar een inventarisatietool voor configuratiebeheerdatabases (CMDB).
Serviceaccounts en CMDB
Sla de verzamelde gegevens op in een CMDB-toepassing. Neem afhankelijkheden op voor infrastructuur, apps en processen. Gebruik deze centrale opslagplaats voor het volgende:
- Risico evalueren
- Het serviceaccount configureren met beperkingen
- Functionele en beveiligingsafhankelijkheden vaststellen
- Regelmatig beoordelingen uitvoeren voor beveiliging en voortdurende behoefte
- Neem contact op met de eigenaar om het serviceaccount te controleren, buiten gebruik te stellen en te wijzigen
Voorbeeld van HR-scenario
Een voorbeeld is een serviceaccount waarmee een website wordt uitgevoerd met machtigingen om verbinding te maken met HUMAN Resources SQL-databases. De informatie in het CMDB-serviceaccount, inclusief voorbeelden, bevindt zich in de volgende tabel:
| Gegevens | Voorbeeld |
|---|---|
| Eigenaar, Plaatsvervanger | Naam, naam |
| Doel | Voer de HR-webpagina uit en maak verbinding met HR-databases. Eindgebruikers nabootsen bij het openen van databases. |
| Machtigingen, toepassingsgebieden | HR-WEBServer: meld u lokaal aan; webpagina uitvoeren HR-SQL1: lokaal aanmelden; leesmachtigingen voor HR-databases HR-SQL2: meld u lokaal aan; alleen leesmachtigingen voor salarisdatabase |
| Kostenplaats | 123456 |
| Risico beoordeeld | Gemiddeld; Bedrijfsimpact: gemiddeld; persoonlijke informatie; Gemiddeld |
| Accountbeperkingen | Meld u aan bij: alleen bovengenoemde servers; Kan het wachtwoord niet wijzigen; MBI-Password beleid; |
| Levensduur | Onbeperkt |
| Beoordelingscyclus | Halfjaarlijks: Door eigenaar, beveiligingsteam of privacyteam |
Risicobeoordelingen of formele beoordelingen van serviceaccounts
Als uw account wordt aangetast door een niet-geautoriseerde bron, beoordeelt u de risico's voor gekoppelde toepassingen, services en infrastructuur. Houd rekening met directe en indirecte risico's:
- Resources waar een onbevoegde gebruiker toegang toe kan krijgen
- Andere informatie of systemen die het serviceaccount kan benaderen
- Machtigingen die het account kan verlenen
- Indicaties of signalen wanneer machtigingen veranderen
Na de risicoanalyse toont de documentatie waarschijnlijk aan dat risico's van invloed zijn op het account:
- Beperkingen
- Levensduur
- Vereisten controleren
- Cadans en beoordelaars
Een serviceaccount maken en accountbeperkingen toepassen
Opmerking
Maak een serviceaccount na de risicoanalyse en documenteer de bevindingen in een CMDB. Accountbeperkingen afstemmen met bevindingen van de risicoanalyse.
Houd rekening met de volgende beperkingen, hoewel sommige mogelijk niet relevant zijn voor uw evaluatie.
- Definieer een realistische einddatum voor gebruikersaccounts die worden gebruikt als serviceaccounts
- Gebruik de vlag Account verloopt om de datum in te stellen.
- Meer informatie: Set-ADAccountExpiration
- Zie Set-ADUser (Active Directory)
- Vereisten voor wachtwoordbeleid
- Accounts maken op een locatie van een organisatie-eenheid die ervoor zorgt dat alleen sommige gebruikers deze beheren
- Stel auditing in en verzamel deze om wijzigingen in serviceaccounts te detecteren:
- Zie Directory Service Wijzigingen Controleren en
- Ga naar manageengine.com voor het controleren van Kerberos-verificatiegebeurtenissen in AD
- Accounttoegang veiliger verlenen voordat het in productie gaat
Beoordelingen van serviceaccounts
Regelmatig serviceaccountbeoordelingen plannen, vooral voor diegene die als Gemiddeld en Hoog Risico zijn geclassificeerd. Beoordelingen kunnen het volgende omvatten:
- Verklaring van de noodzaak van het account, met toelichting van machtigingen en reikwijdtes.
- Privacy- en beveiligingsteambeoordelingen met upstream- en downstreamafhankelijkheden
- Beoordeling van auditgegevens
- Zorg ervoor dat het account wordt gebruikt voor het vermelde doel
Inrichting van serviceaccounts ongedaan maken
De inrichting van serviceaccounts ongedaan maken op de volgende punten:
- Buitengebruikstelling van het script of de toepassing waarvoor het serviceaccount is gemaakt
- Buitengebruikstelling van de script- of toepassingsfunctie waarvoor het serviceaccount is gebruikt
- Vervanging van het serviceaccount voor een ander account
Deprovisioneren:
- Machtigingen en bewaking verwijderen.
- Bekijk aanmeldingen en resourcetoegang van gerelateerde serviceaccounts om zeker te stellen dat er geen potentieel effect op hen is.
- Voorkom inloggen op het account.
- Zorg ervoor dat het account niet meer nodig is (er is geen klacht).
- Maak een bedrijfsbeleid dat bepaalt hoe lang accounts zijn uitgeschakeld.
- Verwijder het serviceaccount.
-
MSA's - zie Uninstall-ADServiceAccount
- PowerShell gebruiken of handmatig verwijderen uit de container van het beheerde serviceaccount
- Computer- of gebruikersaccounts : het account handmatig verwijderen uit Active Directory
Volgende stappen
Zie de volgende artikelen voor meer informatie over het beveiligen van serviceaccounts: