Serviceaccounts op basis van gebruikers beveiligen in Active Directory
On-premises gebruikersaccounts waren de traditionele benadering voor het beveiligen van services die worden uitgevoerd in Windows. Gebruik deze accounts tegenwoordig als door groepen beheerde serviceaccounts (gMSA's) en zelfstandige beheerde serviceaccounts (sMSA's) niet worden ondersteund door uw service. Zie On-premises serviceaccounts beveiligen voor informatie over het te gebruiken accounttype.
U kunt het verplaatsen van uw service onderzoeken naar een Azure-serviceaccount, zoals een beheerde identiteit of een service-principal.
Meer informatie:
- Wat zijn beheerde identiteiten voor Azure-resources?
- Service-principals beveiligen in Microsoft Entra-id
U kunt on-premises gebruikersaccounts maken om beveiliging te bieden voor services en machtigingen die de accounts gebruiken voor toegang tot lokale en netwerkbronnen. Voor on-premises gebruikersaccounts is handmatig wachtwoordbeheer vereist, zoals andere Active Directory-gebruikersaccounts (AD). Service- en domeinbeheerders moeten sterke wachtwoordbeheerprocessen onderhouden om accounts veilig te houden.
Wanneer u een gebruikersaccount als een serviceaccount maakt, gebruikt u dit voor één service. Gebruik een naamconventie waarmee het een serviceaccount wordt verduidelijkt en de service waaraan deze is gerelateerd.
Voordelen en uitdagingen
On-premises gebruikersaccounts zijn een veelzijdig accounttype. Gebruikersaccounts die worden gebruikt als serviceaccounts, worden beheerd door beleidsregels voor gebruikersaccounts. Gebruik deze als u geen MSA kunt gebruiken. Evalueer of een computeraccount een betere optie is.
De uitdagingen van on-premises gebruikersaccounts worden samengevat in de volgende tabel:
| Uitdaging | Correctie |
|---|---|
| Wachtwoordbeheer is handmatig en leidt tot zwakkere beveiligings- en service-downtime | - Zorg voor regelmatige wachtwoordcomplexiteit en dat wijzigingen worden beheerd door een proces dat sterke wachtwoorden onderhoudt - Wachtwoordwijzigingen coördineren met een servicewachtwoord, wat helpt de downtime van de service te verminderen |
| Het identificeren van on-premises gebruikersaccounts die serviceaccounts zijn, kan lastig zijn | - Documentserviceaccounts die in uw omgeving zijn geïmplementeerd - Houd de accountnaam en de resources bij die ze kunnen openen - Overweeg het voorvoegsel svc toe te voegen aan gebruikersaccounts die worden gebruikt als serviceaccounts |
On-premises gebruikersaccounts zoeken die worden gebruikt als serviceaccounts
On-premises gebruikersaccounts zijn net als andere AD-gebruikersaccounts. Het kan lastig zijn om de accounts te vinden, omdat er geen gebruikersaccountkenmerk wordt geïdentificeerd als een serviceaccount. U wordt aangeraden een naamconventie te maken voor gebruikersaccounts die als serviceaccounts worden gebruikt. Voeg bijvoorbeeld het voorvoegsel svc toe aan een servicenaam: svc-HRData Verbinding maken or.
Gebruik een aantal van de volgende criteria om serviceaccounts te vinden. Deze methode kan echter geen accounts vinden:
- Vertrouwd voor delegatie
- Met service-principal-namen
- Met wachtwoorden die nooit verlopen
Voer de volgende PowerShell-opdrachten uit om de on-premises gebruikersaccounts te vinden die worden gebruikt voor services:
Accounts zoeken die worden vertrouwd voor delegatie:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Accounts met service-principalnamen zoeken:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Accounts zoeken met wachtwoorden die nooit verlopen:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
U kunt de toegang tot gevoelige resources controleren en auditlogboeken archiveren in een SIEM-systeem (Security Information and Event Management). Met behulp van Azure Log Analytics of Microsoft Sentinel kunt u serviceaccounts zoeken en analyseren.
Beveiliging van on-premises gebruikersaccounts evalueren
Gebruik de volgende criteria om de beveiliging van on-premises gebruikersaccounts te beoordelen die worden gebruikt als serviceaccounts:
- Wachtwoordbeheerbeleid
- Accounts met lidmaatschap in bevoorrechte groepen
- Lees-/schrijfmachtigingen voor belangrijke resources
Potentiële beveiligingsproblemen beperken
Zie de volgende tabel voor mogelijke beveiligingsproblemen met on-premises gebruikersaccounts en de bijbehorende oplossingen:
| Beveiligingsprobleem | Correctie |
|---|---|
| Wachtwoordbeheer | - Zorg ervoor dat wachtwoordcomplexiteit en wachtwoordwijziging worden geregeld door regelmatige updates en sterke wachtwoordvereisten - Wachtwoordwijzigingen coördineren met een wachtwoordupdate om downtime van de service te minimaliseren |
| Het account is lid van bevoorrechte groepen | - Groepslidmaatschap controleren - Het account verwijderen uit bevoegde groepen - De accountrechten en machtigingen verlenen om de service uit te voeren (neem contact op met de serviceleverancier) - Bijvoorbeeld: lokaal of interactief aanmelden weigeren |
| Het account heeft lees-/schrijfmachtigingen voor gevoelige resources | - Toegang tot gevoelige resources controleren - Auditlogboeken archiveren naar een SIEM: Azure Log Analytics of Microsoft Sentinel - Resourcemachtigingen herstellen als u ongewenste toegangsniveaus detecteert |
Beveiligde accounttypen
Microsoft raadt het gebruik van on-premises gebruikersaccounts niet aan als serviceaccounts. Voor services die dit accounttype gebruiken, moet u beoordelen of deze kan worden geconfigureerd voor het gebruik van een gMSA of een sMSA. Evalueer bovendien of u de service naar Azure kunt verplaatsen om het gebruik van veiligere accounttypen mogelijk te maken.
Volgende stappen
Meer informatie over het beveiligen van serviceaccounts: