Compartilhar via


Administrar contas de serviço locais

O Active Directory oferece quatro tipos de contas de serviço locais:

Parte da governança da conta de serviço inclui:

  • Protegê-las com base em requisitos e finalidade
  • Gerenciar o ciclo de vida da conta e suas credenciais
  • Avaliar contas de serviço, com base em riscos e permissões
  • Garantir que o AD (Active Directory) e o Microsoft Entra ID não tenham contas de serviço não utilizados, com permissões

Novos princípios da conta de serviço

Ao criar contas de serviço, considere as informações na tabela a seguir.

Princípio Consideração
Mapeamento de conta de serviço Conecte a conta de serviço a um serviço, aplicativo ou script
Propriedade Verifique se há um proprietário que solicita e assume a responsabilidade pela conta
Escopo Defina o escopo e preveja a duração de uso
Finalidade Criar contas de serviço para uma finalidade
Permissões Aplicar o princípio de permissão mínima:
- Não atribua permissões a grupos internos, como administradores
- Remova as permissões do computador local, sempre que possível
- Personalize o acesso e use a delegação do AD para acesso ao diretório
- Use permissões de acesso granulares
- Defina restrições de expiração e localização nas contas de serviço com base no usuário
Monitorar e auditar uso - Monitore os dados de entrada e verifique se eles correspondem ao uso pretendido
- Defina alertas de uso anômalo

Restrições da conta de usuário

Para contas de usuário que são usadas como contas de serviço, aplique as seguintes configurações:

  • Expiração da conta: defina a conta de serviço para expirar automaticamente, após o período de revisão, a menos que a conta possa continuar
  • LogonWorkstations: restringir permissões de entrada da conta de serviço
    • Se for executada localmente em um computador e acessar apenas os recursos nesse computador, restrinja-a para que não se conecte em qualquer outro lugar
  • Não é possível alterar a senha: defina o parâmetro para verdadeira para evitar que a conta de serviço altere sua própria senha

Processo de gerenciamento do ciclo de vida

Para ajudar a manter a segurança da conta de serviço, gerencie-as desde o início até o encerramento. Use este processo:

  1. Coletar informações de uso da conta.
  2. Mover a conta de serviço e o aplicativo ao banco de dados de gerenciamento de configuração (CMDB).
  3. Executar avaliação de risco ou uma revisão formal.
  4. Criar a conta de serviço e aplicar restrições.
  5. Agendar e executar revisões recorrentes.
  6. Ajuste as permissões e os escopos conforme necessário.
  7. Desprovisione a conta.

Coletar informações de uso da conta de serviço

Coletar informações comerciais relevantes para cada conta de serviço. A tabela a seguir lista as informações mínimas a serem coletadas. Obtenha o que é necessário para validar cada conta.

Dados Descrição
Proprietário O usuário ou grupo que é responsável pela conta de serviço
Finalidade A finalidade da conta de serviço
Permissões (escopos) As permissões esperadas
Links do CMDB A conta de serviço de vínculo cruzado com o script ou aplicativo de destino e proprietários
Risco Os resultados de uma avaliação de risco de segurança
Tempo de vida Tempo de vida máximo previsto para habilitar o agendamento da expiração ou da nova certificação da conta

O ideal é fazer a solicitação para um autoatendimento de conta e exigir as informações relevantes. O proprietário pode ser um aplicativo ou proprietário de negócios, um membro de TI ou um proprietário de infraestrutura. Você pode usar o Microsoft Forms para solicitações e informações associadas. Se a conta for aprovada, use o Microsoft Forms para portá-la para uma ferramenta de inventário de bancos de dados de gerenciamento de configuração (CMDB).

Contas de serviço e CMDB

Armazene as informações coletadas em um aplicativo CMDB. Inclua dependências em infraestrutura, aplicativos e processos. Use este repositório central para:

  • Avaliação do risco
  • Configuração da conta de serviço com as restrições necessárias
  • Verificação de dependências funcionais e de segurança
  • Condução de revisões regulares para segurança e necessidade contínua
  • Contatar o proprietário para examinar, desativar e alterar a conta de serviço

Exemplo de cenário de RH

Um exemplo é uma conta de serviço que executa um site com permissões para se conectar a bancos de dados SQL de Recursos Humanos. As informações no CMDB da conta de serviço, incluindo exemplos, estão na tabela a seguir:

Dados Exemplo
Proprietário, Substituto Nome, Nome
Finalidade Executar a página da Web de RH e conectar-se aos bancos de dados de HR. Representar usuários finais ao acessar bancos de dados.
Permissões, escopos HR-WEBServer: entrar localmente; executar página da Web
HR-SQL1: entrar localmente; permissões de leitura em todos os bancos de dados de RH
HR-SQL2: entrar localmente; permissões de leitura somente no banco de dados salarial
Centro de custo 123456
Risco avaliado Médio; Impacto nos negócios: Médio; informações particulares; Médio
Restrições de conta Fazer logon em: somente servidores mencionados anteriormente; Não é possível alterar a senha; Política de Senha MBI;
Tempo de vida Irrestrito
Ciclo de revisão Semestral: por proprietário, equipe de segurança ou equipe de privacidade

Avaliações de risco da conta de serviço ou revisões formais

Se sua conta for comprometida por uma fonte não autorizada, avalie os riscos para aplicativos, serviços e infraestrutura associados. Considere os riscos direto e indireto:

  • Recursos aos quais um usuário não autorizado pode obter acesso
    • Outras informações ou sistemas que a conta de serviço pode acessar
  • Permissões que a conta pode conceder
    • Indicações ou sinais quando as permissões são alteradas

Após a avaliação de risco, a documentação provavelmente mostra que os riscos afetam a conta:

  • Restrições
  • Tempo de vida
  • Examinar os requisitos
    • Cadência e revisores

Criar uma conta de serviço e aplicar restrições de conta

Observação

Criar uma conta de serviço após a avaliação de risco e documentar as conclusões em um CMDB. Alinhar as restrições de conta com as conclusões da avaliação de risco.

Considere as restrições a seguir, embora algumas possam não ser relevantes para sua avaliação.

Revisões da conta de serviço

Agende revisões regulares da conta de serviço, especialmente aquelas classificadas como de Médio e Alto Risco. As revisões podem incluir:

  • Atestado do proprietário para a necessidade contínua da conta e uma justificativa de permissões e escopos
  • Revisões da equipe de privacidade e segurança que incluem dependências upstream e downstream
  • Revisão de dados de auditoria
  • Verifique se a conta é usada para sua finalidade declarada

Desprovisionar contas de serviço

Desprovisionar contas de serviço nas seguintes conjunturas:

  • Desativação do script ou aplicativo para o qual a conta de serviço foi criada
  • Desativação do script ou da função de aplicativo, para a qual a conta de serviço foi usada
  • Substituição da conta de serviço por outra

Para desprovisionar:

  1. Remova permissões e monitoramento.
  2. Examine as entradas e o acesso a recursos de contas de serviço relacionadas para garantir que não haja nenhum efeito potencial sobre elas.
  3. Impeça a entrada na conta.
  4. Verifique se a conta não é mais necessária (que não há reclamação).
  5. Crie uma política de negócios que determine a quantidade de tempo em que as contas estão desabilitadas.
  6. Exclua a conta de serviço.
  • MSAs - confira Uninstall-ADServiceAccount
    • Use o PowerShell ou exclua-o manualmente do contêiner da conta de serviço gerenciada
  • Contas de computador ou usuário: exclua manualmente a conta do Active Directory

Próximas etapas

Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos: