Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Co to są konta usług?
Konta usług to wyspecjalizowane tożsamości w usłudze Active Directory używane do uruchamiania aplikacji, usług i zautomatyzowanych zadań. Te konta często wymagają podwyższonego poziomu uprawnień do wykonywania wyznaczonego zadania. Jednak ponieważ nie mogą uwierzytelniać się w taki sam sposób jak konta ludzkie, zazwyczaj nie korzystają ze zwiększonego bezpieczeństwa nowoczesnych metod uwierzytelniania, takich jak uwierzytelnianie wieloskładnikowe. Biorąc pod uwagę ich potencjalne podwyższone uprawnienia i nieodłączne ograniczenia zasad dostępu, które je regulują, staranne zarządzanie i monitorowanie mają kluczowe znaczenie dla zapewnienia, że nie staną się one luką w zabezpieczeniach.
Konta usług są klasyfikowane do kilku typów:
- gMSA (konta usług zarządzane przez grupę): gMSAs zapewniają jedno rozwiązanie tożsamości dla wielu usług, które wymagają wzajemnego uwierzytelniania na wielu serwerach, ponieważ umożliwiają one systemowi Windows obsługę zarządzania hasłami, co zmniejsza obciążenie administracyjne.
- sMSA (zarządzane konta usług): przeznaczone dla poszczególnych usług na jednym serwerze, a nie w grupach.
- Konto użytkownika: te standardowe konta użytkowników są zwykle używane do interaktywnych logowań, ale można je również skonfigurować do uruchamiania usług.
Funkcja automatycznego odnajdywania szybko identyfikuje konta gMSA i sMSA oraz konta użytkowników w usłudze Active Directory, które spełniają określone kryteria. Kryteria te obejmują posiadanie głównej nazwy usługi (SPN) i ma przypisane hasło nigdy nie wygasa atrybutu. Funkcja klasyfikuje te konta jako konta usług. Te konta są wyróżnione i prezentowane wraz z odpowiednimi informacjami, w tym szczegółowymi informacjami o ostatnich uwierzytelnianiach oraz źródłach i miejscach docelowych tych interakcji w ramach dedykowanego spisu w środowisku usługi Defender. Pomaga to lepiej zrozumieć przeznaczenie kont, dzięki czemu można łatwiej dostrzec nietypową aktywność i zrozumieć jej konsekwencje.
Typy kont usługi są wyświetlane w tabeli Informacje o tożsamości w obszarze Zaawansowane wyszukiwanie zagrożeń.
Strona Konta usług
Przejdź do strony Konta usług
W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do pozycji Konta usług tożsamości>.
Na poniższej ilustracji przedstawiono stronę Konta usług:
Dostosowywanie widoku strony
Istnieje kilka opcji, które można wybrać, aby dostosować widok listy tożsamości. Na górnym pasku nawigacyjnym można:
Dodaj lub usuń kolumny.
Zastosuj filtry.
Wyeksportuj listę do pliku CSV.
Sortuj i filtruj listę Konta usług.
Uwaga
Podczas eksportowania listy kont usług do pliku CSV jest wyświetlanych maksymalnie 2000 kont usług.
Szczegóły konta usługi
Suma: łączna liczba kont usług na liście.
Zarządzane: całkowita liczba kont usług, które są gMSA (konta usługi zarządzane przez grupę) lub sMSA (zarządzane konta usług).
Użytkownik: całkowita liczba standardowych kont użytkowników używanych do interaktywnych logowań lub skonfigurowanych do uruchamiania usług.
Krytyczne: całkowita liczba kont usług zidentyfikowanych jako krytyczne.
Aby uzyskać bardziej skoncentrowany widok, możesz użyć funkcji sortowania i filtrowania na każdej karcie konta usługi.
| Szczegóły konta usługi | Opis |
|---|---|
| Nazwa wyświetlana | Pełna nazwa konta usługi, jak pokazano w katalogu. |
| SID | Identyfikator zabezpieczeń, unikatowa wartość używana do identyfikowania tożsamości w usłudze Active Directory. |
| Domain (Domena) | Domena usługi Active Directory, do której należy tożsamość. |
| Type | Określa, czy konto usługi to gMSA (konta usług zarządzanych przez grupę), sMSA (zarządzane konta usług) lub konto użytkownika. |
| Poziom krytyczności | Wskazuje krytyczny poziom konta usługi, od niskiego do bardzo wysokiego. |
| Tagi | Token wrażliwy lub miodowy |
| Protokoły uwierzytelniania | Wyświetla listę dostępnych metod weryfikowania tożsamości użytkowników, na przykład Kerberos i NTLM (New Technology LAN Manager). |
| Źródeł | Liczba potencjalnych identyfikatorów logowania źródła. |
| Miejsc | Gdy konto usługi próbuje uzyskać dostęp do serwera docelowego, żądanie jest kierowane do systemu docelowego, który może zawierać wiele zasobów na tym serwerze. Te zasoby mogą być bazą danych, serwerem plików lub innymi usługami hostowanymi na serwerze. |
| Połączenia | Liczba unikatowych połączeń między źródłami i miejscami docelowymi. |
| Utwórz | Sygnatura czasowa utworzenia konta usługi. |
| Ostatnia aktualizacja | Sygnatura czasowa najnowszej aktualizacji konta usługi. |
Połączenia
Aby dowiedzieć się więcej na temat tego, co dzieje się na koncie usługi, wybierz nazwę domeny, aby wyświetlić następujące informacje:
Podczas badania określonego konta usługi na karcie połączenia zostaną wyświetlone następujące szczegóły:
| Szczegóły połączenia konta usługi | Opis |
|---|---|
| Źródło | Skąd pochodzi ruch sieciowy lub żądanie. |
| Typ źródła | Jakiego rodzaju urządzenie lub system inicjuje żądanie. Na przykład serwer, stacja robocza lub kontroler domeny. |
| Ryzyko źródłowe | Identicates ryzyko stwarzane dla źródła od bez ryzyka do wysokiego ryzyka. |
| Destination (Miejsce docelowe) | Miejsce, do którego jest kierowane żądanie. System docelowy, do który próbuje uzyskać dostęp konto usługi. Na przykład podczas próby uzyskania dostępu do serwera docelowego na tym serwerze może znajdować się wiele zasobów (na przykład baza danych i serwer plików). |
| Typ miejsca docelowego | Serwer, stacja robocza lub kontroler domeny. |
| Protokoły uwierzytelniania | Kerberos i NTLM |
| Klasa usługi | Usługi w sieci definiujące typ świadczonej usługi, często używane do uwierzytelniania i zarządzania zasobami. Należą do nich: Lightweight Directory Access Protocol (LDAP), Common Internet File System (CIFS), Remote Procedure Call (RPC), Remote Procedure Call Subsystem (RPCSS), "HTTP", Terminal Services (TERMSRV) i "HOST" |
| Liczba | Ile zdarzeń logowania wystąpiło za pośrednictwem tego połączenia w ciągu ostatnich 180 dni. |
| Ostatnio widziany | Data i godzina ostatniego zdarzenia logowania za pośrednictwem tego połączenia. |
Definiowanie reguł klasyfikacji konta usługi
Reguły klasyfikacji kont usług umożliwiają definiowanie własnych kryteriów identyfikowania kont usług. Te reguły ułatwiają dołączanie kont usług, których usługa Defender for Identity nie identyfikuje automatycznie. Na przykład niektóre organizacje nazwiją wszystkie swoje konta usług prefiksem, takim jak srv. Usługa Defender for Identity nie wykrywa automatycznie takich konwencji nazewnictwa. Tworząc regułę klasyfikacji na podstawie tego wzorca, możesz uwzględnić te konta w widoku Konta usług.
Reguły klasyfikacji działają razem z automatycznym odnajdywaniem usługi Defender for Identity i zapewniają bardziej kompletny i dostosowany widok kont usług w środowisku.
Aby utworzyć regułę:
- Przejdź do pozycji Ustawienia > Microsoft Defender XDR > klasyfikacji kont usługi.
- Wybierz pozycję + Utwórz nową regułę.
- Wprowadź nazwę reguły.
- Opcjonalnie: dodaj opis.
- Wybierz co najmniej jeden z następujących filtrów:
- Nazwa wyświetlana konta
- Domena konta
- Nazwa SAM konta
- Jednostka organizacyjna
- Wybierz pozycję Utwórz, aby zapisać regułę.
Aby uzyskać więcej informacji o usłudze Defender for Identity, zobacz: Badanie zasobów.
Zawartość pokrewna
Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, zobacz, jak otworzyć bilet pomocy technicznej w Microsoft Defender for Identity pomocy technicznej.