On-premises serviceaccounts beveiligen
Een service heeft een primaire beveiligingsidentiteit die de toegangsrechten voor lokale en netwerkresources bepaalt. De beveiligingscontext voor een Microsoft Win32-service wordt bepaald door het serviceaccount dat wordt gebruikt om de service te starten. U gebruikt een serviceaccount voor het volgende:
- Een service identificeren en verifiëren.
- Een service is gestart.
- Code of een toepassing openen of uitvoeren.
- Start een proces.
Typen on-premises serviceaccounts
Afhankelijk van uw gebruiksscenario kunt u een beheerd serviceaccount (MSA), een computeraccount of een gebruikersaccount gebruiken om een service uit te voeren. U moet eerst een service testen om te bevestigen dat deze een beheerd serviceaccount kan gebruiken. Als de service een MSA kan gebruiken, moet u er een gebruiken.
Beheerde serviceaccounts voor groepen
Voor services die worden uitgevoerd in uw on-premises omgeving, gebruikt u indien mogelijk door groepen beheerde serviceaccounts (gMSA's). gMSA's bieden één identiteitsoplossing voor services die worden uitgevoerd op een serverfarm of achter een netwerk load balancer. gMSA's kunnen ook worden gebruikt voor services die op één server worden uitgevoerd. Zie Aan de slag met door groepen beheerde serviceaccounts voor meer informatie over de vereisten voor gMSA's.
Zelfstandige beheerde serviceaccounts
Als u geen gMSA kunt gebruiken, gebruikt u een zelfstandig beheerd serviceaccount (sMSA). sMSA's vereisen ten minste Windows Server 2008 R2. In tegenstelling tot gMSA's worden sMSA's op slechts één server uitgevoerd. Ze kunnen worden gebruikt voor meerdere services op die server.
Computeraccounts
Als u geen MSA kunt gebruiken, kunt u overwegen een computeraccount te gebruiken. Het LocalSystem-account is een vooraf gedefinieerd lokaal account met uitgebreide machtigingen op de lokale computer en fungeert als de computeridentiteit in het netwerk.
Services die worden uitgevoerd als een LocalSystem-account, hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount in de indeling <domain_name>\<computer_name>. De vooraf gedefinieerde naam is NT AUTHORITY\SYSTEM. U kunt deze gebruiken om een service te starten en een beveiligingscontext voor die service te bieden.
Notitie
Wanneer u een computeraccount gebruikt, kunt u niet bepalen welke service op de computer dat account gebruikt. U kunt dus niet controleren welke service wijzigingen aanbrengt.
Gebruikersaccounts
Als u geen MSA kunt gebruiken, kunt u overwegen een gebruikersaccount te gebruiken. Een gebruikersaccount kan een domeingebruikersaccount of een lokaal gebruikersaccount zijn.
Met een domeingebruikersaccount kan de service volledig profiteren van de servicebeveiligingsfuncties van Windows en Microsoft Active Directory Domain Services. De service heeft lokale machtigingen en netwerkmachtigingen die aan het account zijn verleend. Het heeft ook de machtigingen van alle groepen waarvan het account lid is. Domeinserviceaccounts ondersteunen wederzijdse Kerberos-verificatie.
Een lokaal gebruikersaccount (naamnotatie: .\UserName) bestaat alleen in de Security Account Manager-database van de hostcomputer. Het heeft geen gebruikersobject in Active Directory Domain Services. Een lokaal account kan niet worden geverifieerd door het domein. Een service die wordt uitgevoerd in de beveiligingscontext van een lokaal gebruikersaccount, heeft dus geen toegang tot netwerkbronnen (behalve als een anonieme gebruiker). Services die worden uitgevoerd in de lokale gebruikerscontext, bieden geen ondersteuning voor wederzijdse Kerberos-verificatie waarbij de service wordt geverifieerd door de clients. Om deze redenen zijn lokale gebruikersaccounts doorgaans niet geschikt voor directoryservices.
Belangrijk
Serviceaccounts mogen geen lid zijn van bevoegde groepen, omdat lidmaatschap van bevoorrechte groepen machtigingen verleent die mogelijk een beveiligingsrisico vormen. Elke service moet een eigen serviceaccount hebben voor controle- en beveiligingsdoeleinden.
Het juiste type serviceaccount kiezen
| Criterium | gMSA | sMSA | Computeraccount | Gebruikersaccount |
|---|---|---|---|---|
| App wordt uitgevoerd op één server | Ja | Ja. Gebruik indien mogelijk een gMSA. | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
| App wordt uitgevoerd op meerdere servers | Ja | Nee | Nee. Het account is gekoppeld aan de server. | Ja. Gebruik indien mogelijk een MSA. |
| App wordt uitgevoerd achter een load balancer | Ja | Nee | Nee | Ja. Gebruik alleen als u geen gMSA kunt gebruiken. |
| App wordt uitgevoerd op Windows Server 2008 R2 | Nee | Ja | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
| App wordt uitgevoerd op Windows Server 2012 | Ja | Ja. Gebruik indien mogelijk een gMSA. | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
| Vereiste voor het beperken van het serviceaccount tot één server | Nee | Ja | Ja. Gebruik indien mogelijk een sMSA. | No |
Serverlogboeken en PowerShell gebruiken om onderzoek te doen
U kunt serverlogboeken gebruiken om te bepalen op welke servers en op hoeveel servers een toepassing wordt uitgevoerd.
Als u een lijst wilt weergeven van de Windows Server-versie voor alle servers in uw netwerk, kunt u de volgende PowerShell-opdracht uitvoeren:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
On-premises serviceaccounts zoeken
U wordt aangeraden een voorvoegsel zoals 'svc-' toe te voegen aan alle accounts die u als serviceaccounts gebruikt. Deze naamconventie maakt het gemakkelijker om de accounts te vinden en te beheren. Overweeg ook het gebruik van een beschrijvingskenmerk voor het serviceaccount en de eigenaar van het serviceaccount. De beschrijving kan een teamalias of eigenaar van het beveiligingsteam zijn.
Het vinden van on-premises serviceaccounts is essentieel voor het garanderen van de beveiliging. Dit kan lastig zijn voor niet-MSA-accounts. We raden u aan alle accounts te controleren die toegang hebben tot uw belangrijke on-premises resources en te bepalen welke computer- of gebruikersaccounts als serviceaccounts kunnen fungeren.
Zie het artikel over dat accounttype in de sectie Volgende stappen voor meer informatie over het vinden van een serviceaccount.
Documentserviceaccounts
Nadat u de serviceaccounts in uw on-premises omgeving hebt gevonden, documenteer u de volgende informatie:
Eigenaar: De persoon die verantwoordelijk is voor het onderhouden van het account.
Doel: de toepassing die het account vertegenwoordigt, of een ander doel.
Machtigingsbereiken: de machtigingen die het heeft of zou moeten hebben, en eventuele groepen waarvan het lid is.
Risicoprofiel: het risico voor uw bedrijf als dit account is gecompromitteerd. Als het risico hoog is, gebruikt u een MSA.
Verwachte levensduur en periodieke attestation: hoe lang u verwacht dat dit account live zal zijn en hoe vaak de eigenaar de doorlopende behoefte moet controleren en bevestigen.
Wachtwoordbeveiliging: voor gebruikersaccounts en lokale computeraccounts, waarbij het wachtwoord wordt opgeslagen. Zorg ervoor dat wachtwoorden veilig worden bewaard en documenteer wie toegang heeft. Overweeg het gebruik van Privileged Identity Management om opgeslagen wachtwoorden te beveiligen.
Volgende stappen
Zie de volgende artikelen voor meer informatie over serviceaccounts: