On-premises serviceaccounts beveiligen
Een service heeft een primaire beveiligingsidentiteit die de toegangsrechten voor lokale en netwerkbronnen bepaalt. De beveiligingscontext voor een Microsoft Win32-service wordt bepaald door het serviceaccount dat wordt gebruikt om de service te starten. U gebruikt een serviceaccount voor het volgende:
- Een service identificeren en verifiëren.
- Start een service.
- Code of een toepassing openen of uitvoeren.
- Een proces starten.
Typen on-premises serviceaccounts
Afhankelijk van uw use-case kunt u een beheerd serviceaccount (MSA), een computeraccount of een gebruikersaccount gebruiken om een service uit te voeren. U moet eerst een service testen om te bevestigen dat deze een beheerd serviceaccount kan gebruiken. Als de service een MSA kan gebruiken, moet u er een gebruiken.
Door groepen beheerde serviceaccounts
Gebruik waar mogelijk beheerde serviceaccounts (gMSA's) voor services die worden uitgevoerd in uw on-premises omgeving. gMSA's bieden één identiteitsoplossing voor services die worden uitgevoerd op een serverfarm of achter een netwerktaakverdeling. gMSA's kunnen ook worden gebruikt voor services die op één server worden uitgevoerd. Zie Aan de slag met door groepen beheerde serviceaccounts voor meer informatie over de vereisten voor gMSA's.
Zelfstandige beheerde serviceaccounts
Als u geen gMSA kunt gebruiken, gebruikt u een zelfstandig beheerd serviceaccount (sMSA). sMSA's vereisen ten minste Windows Server 2008 R2. In tegenstelling tot gMSA's worden sMSA's slechts op één server uitgevoerd. Ze kunnen worden gebruikt voor meerdere services op die server.
Computeraccounts
Als u geen MSA kunt gebruiken, kunt u overwegen een computeraccount te gebruiken. Het LocalSystem-account is een vooraf gedefinieerd lokaal account met uitgebreide machtigingen op de lokale computer en fungeert als de computeridentiteit op het netwerk.
Services die worden uitgevoerd als een LocalSystem-account hebben toegang tot netwerkbronnen met behulp van de referenties van het computeraccount in de indeling <domain_name>\<computer_name>. De vooraf gedefinieerde naam is NT AUTHORITY\SYSTEM. U kunt deze gebruiken om een service te starten en een beveiligingscontext voor die service te bieden.
Notitie
Wanneer u een computeraccount gebruikt, kunt u niet bepalen welke service op de computer dat account gebruikt. Daarom kunt u niet controleren welke service wijzigingen aanbrengt.
Gebruikersaccounts
Als u geen MSA kunt gebruiken, kunt u overwegen een gebruikersaccount te gebruiken. Een gebruikersaccount kan een domeingebruikersaccount of een lokaal gebruikersaccount zijn.
Met een domeingebruikersaccount kan de service optimaal profiteren van de servicebeveiligingsfuncties van Windows en Microsoft Active Directory-domein Services. De service heeft lokale en netwerkmachtigingen verleend aan het account. Het heeft ook de machtigingen van alle groepen waarvan het account lid is. Domeinserviceaccounts ondersteunen wederzijdse Kerberos-verificatie.
Een lokaal gebruikersaccount (naamindeling: .\UserName) bestaat alleen in de Security Account Manager-database van de hostcomputer. Het heeft geen gebruikersobject in Active Directory-domein Services. Een lokaal account kan niet worden geverifieerd door het domein. Een service die wordt uitgevoerd in de beveiligingscontext van een lokaal gebruikersaccount, heeft dus geen toegang tot netwerkbronnen (behalve als anonieme gebruiker). Services die worden uitgevoerd in de lokale gebruikerscontext, bieden geen ondersteuning voor wederzijdse Kerberos-verificatie waarbij de service wordt geverifieerd door de clients. Om deze redenen zijn lokale gebruikersaccounts gewoonlijk ongepast voor services met directory-functionaliteit.
Belangrijk
Serviceaccounts mogen geen lid zijn van bevoorrechte groepen, omdat het lidmaatschap van een bevoorrechte groep machtigingen verleent die mogelijk een beveiligingsrisico vormen. Elke service moet een eigen serviceaccount hebben voor controle- en beveiligingsdoeleinden.
Het juiste type serviceaccount kiezen
Criterium | gMSA | sMSA | Computeraccount | Gebruikersaccount |
---|---|---|---|---|
App wordt uitgevoerd op één server | Ja | Ja. Gebruik indien mogelijk een gMSA. | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
App wordt uitgevoerd op meerdere servers | Ja | Nr. | Nee. Account is gekoppeld aan de server. | Ja. Gebruik indien mogelijk een MSA. |
App wordt uitgevoerd achter een load balancer | Ja | No | Nr. | Ja. Alleen gebruiken als u geen gMSA kunt gebruiken. |
App wordt uitgevoerd op Windows Server 2008 R2 | Nr. | Ja | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
App wordt uitgevoerd op Windows Server 2012 | Ja | Ja. Gebruik indien mogelijk een gMSA. | Ja. Gebruik indien mogelijk een MSA. | Ja. Gebruik indien mogelijk een MSA. |
Vereiste om het serviceaccount te beperken tot één server | Nr. | Ja | Ja. Gebruik indien mogelijk een sMSA. | Nee |
Serverlogboeken en PowerShell gebruiken om te onderzoeken
U kunt serverlogboeken gebruiken om te bepalen op welke servers en hoeveel servers een toepassing wordt uitgevoerd.
Als u een overzicht wilt krijgen van de Windows Server-versie voor alle servers in uw netwerk, kunt u de volgende PowerShell-opdracht uitvoeren:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
On-premises serviceaccounts zoeken
U wordt aangeraden een voorvoegsel, zoals 'svc-', toe te voegen aan alle accounts die u als serviceaccounts gebruikt. Met deze naamconventie zijn de accounts gemakkelijker te vinden en te beheren. Overweeg ook het gebruik van een beschrijvingskenmerk voor het serviceaccount en de eigenaar van het serviceaccount. De beschrijving kan een teamalias of eigenaar van het beveiligingsteam zijn.
Het vinden van on-premises serviceaccounts is essentieel voor het garanderen van hun beveiliging. Dit kan lastig zijn voor niet-MSA-accounts. U wordt aangeraden alle accounts te bekijken die toegang hebben tot uw belangrijke on-premises resources en dat u bepaalt welke computer- of gebruikersaccounts als serviceaccounts kunnen fungeren.
Zie het artikel over dat accounttype in de sectie Volgende stappen voor meer informatie over het vinden van een serviceaccount.
Serviceaccounts document
Nadat u de serviceaccounts in uw on-premises omgeving hebt gevonden, documenteert u de volgende informatie:
Eigenaar: de persoon die verantwoordelijk is voor het onderhouden van het account.
Doel: De toepassing die het account vertegenwoordigt of ander doel.
Machtigingsbereiken: de machtigingen die het heeft of moet hebben, en alle groepen waarvan het lid is.
Risicoprofiel: het risico voor uw bedrijf als dit account is aangetast. Als het risico hoog is, gebruikt u een MSA.
Verwachte levensduur en periodieke attestation: hoe lang u verwacht dat dit account live zal zijn en hoe vaak de eigenaar moet beoordelen en bevestigen aan de voortdurende behoefte.
Wachtwoordbeveiliging: voor gebruikers- en lokale computeraccounts, waarbij het wachtwoord is opgeslagen. Zorg ervoor dat wachtwoorden veilig blijven en documenten die toegang hebben. Overweeg windows LAPS te gebruiken om accounts op lokale computeraccounts te beveiligen.
Volgende stappen
Zie de volgende artikelen voor meer informatie over serviceaccounts: