Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Zabezpieczanie lokalnych kont usług

Usługa ma podstawową tożsamość zabezpieczeń, która określa prawa dostępu dla zasobów lokalnych i sieciowych. Kontekst zabezpieczeń usługi Microsoft Win32 jest określany przez konto usługi używane do uruchamiania usługi. Konto usługi służy do:

  • Identyfikowanie i uwierzytelnianie usługi.
  • Pomyślnie uruchom usługę.
  • Uzyskiwanie dostępu lub wykonywanie kodu lub aplikacji.
  • Rozpocznij proces.

Typy lokalnych kont usług

W zależności od przypadku użycia można użyć zarządzanego konta usługi (MSA), konta komputera lub konta użytkownika do uruchamiania usługi. Najpierw należy przetestować usługę, aby potwierdzić, że może używać zarządzanego konta usługi. Jeśli usługa może korzystać z usługi MSA, należy jej użyć.

Konta usług zarządzanych przez grupę

W przypadku usług uruchamianych w środowisku lokalnym użyj kont usług zarządzanych przez grupę (gMSA), jeśli jest to możliwe. GMSAs zapewniają pojedyncze rozwiązanie tożsamości dla usług, które działają w farmie serwerów lub za modułem równoważenia obciążenia sieciowego. GMSA mogą być również używane w przypadku usług uruchamianych na jednym serwerze. Aby uzyskać informacje o wymaganiach dotyczących kont usługi zarządzanej przez grupę, zobacz Wprowadzenie do kont usług zarządzanych przez grupę.

Autonomiczne zarządzane konta usług

Jeśli nie możesz użyć konta zarządzanego przez grupy, użyj autonomicznego zarządzanego konta usługi (sMSA). SMSA wymagają co najmniej systemu Windows Server 2008 R2. W przeciwieństwie do kont gMSA, konta sMSA działają tylko na jednym serwerze. Mogą być używane w przypadku wielu usług na tym serwerze.

Konta komputerów

Jeśli nie możesz użyć konta MSA, rozważ użycie konta komputera. Konto LocalSystem jest wstępnie zdefiniowanym kontem lokalnym, które ma szerokie uprawnienia na komputerze lokalnym i działa jako tożsamość komputera w sieci.

Usługi uruchamiane jako konto LocalSystem uzyskują dostęp do zasobów sieciowych przy użyciu poświadczeń konta komputera w formacie <domain_name>\<computer_name>. Jego wstępnie zdefiniowana nazwa to NT AUTHORITY\SYSTEM. Można jej użyć do uruchomienia usługi i zapewnienia kontekstu zabezpieczeń dla tej usługi.

Uwaga

W przypadku korzystania z konta komputera nie można określić, która usługa na komputerze korzysta z tego konta. W związku z tym nie można przeprowadzić inspekcji, która usługa wprowadza zmiany.

Konta użytkowników

Jeśli nie możesz użyć konta MSA, rozważ użycie konta użytkownika. Konto użytkownika może być kontem użytkownika domeny lub kontem użytkownika lokalnego.

Konto użytkownika domeny umożliwia usłudze pełne korzystanie z funkcji zabezpieczeń usług systemu Windows i usług Microsoft domena usługi Active Directory Services. Usługa będzie mieć uprawnienia lokalne i sieciowe przyznane dla konta. Będzie również mieć uprawnienia do wszystkich grup, których konto jest członkiem. Konta usług domenowych obsługują wzajemne uwierzytelnianie Kerberos.

Konto użytkownika lokalnego (format nazwy: .\UserName) istnieje tylko w bazie danych Menedżera kont zabezpieczeń komputera hosta. Nie ma obiektu użytkownika w usługach domena usługi Active Directory. Nie można uwierzytelnić konta lokalnego przez domenę. Dlatego usługa uruchamiana w kontekście zabezpieczeń konta użytkownika lokalnego nie ma dostępu do zasobów sieciowych (z wyjątkiem użytkownika anonimowego). Usługi uruchamiane w kontekście użytkownika lokalnego nie mogą obsługiwać wzajemnego uwierzytelniania Kerberos, w którym usługa jest uwierzytelniana przez swoich klientów. Z tych powodów lokalne konta użytkowników są zwykle nieodpowiednie dla usług z obsługą katalogów.

Ważne

Konta usług nie powinny być członkami żadnych uprzywilejowanych grup, ponieważ uprzywilejowane członkostwo w grupie nadaje uprawnienia, które mogą stanowić zagrożenie bezpieczeństwa. Każda usługa powinna mieć własne konto usługi na potrzeby inspekcji i zabezpieczeń.

Wybieranie odpowiedniego typu konta usługi

Kryterium gMSA sMSA Konto komputera Konto użytkownika
Aplikacja działa na jednym serwerze Tak Tak. Jeśli to możliwe, użyj konta gMSA. Tak. Jeśli to możliwe, użyj msa. Tak. Jeśli to możliwe, użyj msa.
Aplikacja działa na wielu serwerach Tak Nie. Nie Konto jest powiązane z serwerem. Tak. Jeśli to możliwe, użyj msa.
Aplikacja działa za modułem równoważenia obciążenia Tak Nie. Nie. Tak. Użyj tylko wtedy, gdy nie możesz użyć konta zarządzanego przez użytkownika.
Aplikacja działa w systemie Windows Server 2008 R2 Nie. Tak Tak. Jeśli to możliwe, użyj msa. Tak. Jeśli to możliwe, użyj msa.
Aplikacja działa w systemie Windows Server 2012 Tak Tak. Jeśli to możliwe, użyj konta gMSA. Tak. Jeśli to możliwe, użyj msa. Tak. Jeśli to możliwe, użyj msa.
Wymaganie ograniczenia konta usługi do pojedynczego serwera Nie. Tak Tak. Jeśli to możliwe, użyj sMSA. Nie.

Badanie przy użyciu dzienników serwera i programu PowerShell

Za pomocą dzienników serwera można określić, na których serwerach i ile serwerów działa aplikacja.

Aby uzyskać listę wersji systemu Windows Server dla wszystkich serwerów w sieci, możesz uruchomić następujące polecenie programu PowerShell:


Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `

-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

sort-Object -Property Operatingsystem |

Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |

Out-GridView

Znajdowanie lokalnych kont usług

Zalecamy dodanie prefiksu, takiego jak "svc-" do wszystkich kont używanych jako konta usług. Ta konwencja nazewnictwa ułatwi znajdowanie kont i zarządzanie nimi. Rozważ również użycie atrybutu opisu dla konta usługi i właściciela konta usługi. Opis może być aliasem zespołu lub właścicielem zespołu zabezpieczeń.

Znalezienie lokalnych kont usług jest kluczem do zapewnienia ich bezpieczeństwa. Może to być trudne dla kont innych niż MSA. Zalecamy przejrzenie wszystkich kont, które mają dostęp do ważnych zasobów lokalnych, oraz określenie, które konta komputerów lub użytkowników mogą pełnić rolę kont usług.

Aby dowiedzieć się, jak znaleźć konto usługi, zobacz artykuł dotyczący tego typu konta w sekcji "Następne kroki".

Dokumentowanie kont usług

Po znalezieniu kont usług w środowisku lokalnym należy udokumentować następujące informacje:

  • Właściciel: osoba odpowiedzialna za utrzymanie konta.

  • Cel: aplikacja, która reprezentuje konto, lub inny cel.

  • Zakresy uprawnień: uprawnienia, które ma lub powinny, oraz wszystkie grupy, do których należy.

  • Profil ryzyka: ryzyko dla twojej firmy w przypadku naruszenia zabezpieczeń tego konta. Jeśli ryzyko jest wysokie, użyj konta MSA.

  • Przewidywany okres istnienia i okresowe zaświadczenie: jak długo przewidujesz, że to konto będzie aktywne i jak często właściciel powinien przeglądać i potwierdzać jego bieżące potrzeby.

  • Zabezpieczenia haseł: w przypadku kont użytkowników i komputerów lokalnych, w których jest przechowywane hasło. Upewnij się, że hasła są bezpieczne, a także dokument, kto ma dostęp. Rozważ użycie rozwiązania Windows LAPS do zabezpieczania kont na kontach komputerów lokalnych.

Następne kroki

Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz następujące artykuły: