Compartilhar via

Controlar contas de serviço locais

O Active Directory oferece quatro tipos de contas de serviço locais:

Parte da governança da conta de serviço inclui:

  • Protegendo-os, com base nos requisitos e na finalidade
  • Gerenciando o ciclo de vida da conta e suas credenciais
  • Avaliando contas de serviço, com base em riscos e permissões
  • Garantir que o Active Directory (AD) e a ID do Microsoft Entra não tenham contas de serviço não utilizados, com permissões

Novos princípios de conta de serviço

Ao criar contas de serviço, considere as informações na tabela a seguir.

Princípio Consideração
Mapeamento de conta de serviço Conectar a conta de serviço a um serviço, aplicativo ou script
Propriedade Verifique se há um proprietário da conta que solicita e assume a responsabilidade
Scope Definir o escopo e prever a duração do uso
Propósito Criar contas de serviço para uma finalidade
Permissões Aplique o princípio de menor permissão:
- Não atribua permissões a grupos internos, como administradores
- Remover permissões de computador local, quando possível - Personalizar
o acesso e usar a delegação do AD para acesso
ao diretório - Usar permissões
de acesso granulares - Definir restrições de expiração de conta e localização em contas de serviço baseadas no usuário
Monitorar e auditar o uso – Monitorar dados de entrada e garantir que eles correspondam ao uso
pretendido – Definir alertas para uso anômalo

Restrições de conta de usuário

Para contas de usuário usadas como contas de serviço, aplique as seguintes configurações:

  • Expiração da conta – defina a conta de serviço para expirar automaticamente, após o período de revisão, a menos que a conta possa continuar
  • LogonWorkstations – restringir permissões de login da conta de serviço
    • Se for executada localmente em um computador e acessar apenas os recursos nesse computador, restrinja-a para que não se conecte em qualquer outro lugar
  • Não é possível alterar a senha – defina o parâmetro como true para impedir que a conta de serviço altere sua própria senha

Processo de gerenciamento do ciclo de vida

Para ajudar a manter a segurança das contas de serviço, gerencie-as desde a criação até o encerramento. Use este processo:

  1. Coletar informações de uso da conta.
  2. Mova a conta de serviço e o aplicativo para o CMDB (banco de dados de gerenciamento de configuração).
  3. Execute uma avaliação de risco ou uma revisão formal.
  4. Crie a conta de serviço e aplique restrições.
  5. Agende e execute revisões recorrentes.
  6. Ajuste as permissões e os escopos conforme necessário.
  7. Desprovisione a conta.

Coletar informações de uso da conta de serviço

Colete informações relevantes para cada conta de serviço. A tabela a seguir lista as informações mínimas a serem coletadas. Obtenha o que é necessário para validar cada conta.

Dados Descrição
Proprietário O usuário ou grupo responsável pela conta de serviço
Propósito A finalidade da conta de serviço
Permissões (escopos) As permissões esperadas
Links do CMDB A conta de serviço que estabelece a ligação cruzada com o script ou aplicativo de destino e seus proprietários.
Risco Os resultados de uma avaliação de risco de segurança
Tempo de vida O tempo de vida máximo previsto para agendar a expiração ou a recertificação da conta

Torne a solicitação de conta um processo de autoatendimento e exija as informações relevantes. O proprietário é um proprietário de aplicativo ou de negócios, um membro da equipe de TI ou um proprietário de infraestrutura. Você pode usar o Microsoft Forms para solicitações e informações associadas. Se a conta for aprovada, use o Microsoft Forms para portá-la para uma ferramenta de inventário de bancos de dados de gerenciamento de configuração (CMDB).

Contas de serviço e CMDB

Armazene as informações coletadas em um aplicativo CMDB. Inclua dependências em infraestrutura, aplicativos e processos. Use este repositório central para:

  • Avaliar o risco
  • Configurar a conta de serviço com restrições
  • Verificar dependências funcionais e de segurança
  • Conduza revisões regulares para avaliar a segurança e a necessidade contínua
  • Entre em contato com o proprietário para revisar, desativar e alterar a conta de serviço.

Exemplo de cenário de RH

Um exemplo é uma conta de serviço que executa um site com permissões para se conectar a bancos de dados SQL de Recursos Humanos. As informações no CMDB da conta de serviço, incluindo exemplos, estão na tabela a seguir:

Dados Exemplo
Proprietário, Delegado Nome, Nome
Propósito Execute a página da Web de RH e conecte-se aos bancos de dados de RH. Representar usuários finais ao acessar bancos de dados.
Permissões, escopos HR-WEBServer: faça login localmente; executar a página web
HR-SQL1: entrar localmente; permissões de leitura em todos os bancos de dados de RH
HR-SQL2: entrar localmente; permissões de leitura somente no banco de dados salarial
Centro de custo 123456
Risco avaliado Médio; Impacto nos negócios: Médio; informações particulares; Médio
Restrições de conta Fazer logon em: somente servidores mencionados anteriormente; Não é possível alterar a senha; Política de Senha MBI;
Tempo de vida Irrestrito
Ciclo de revisão Duas vezes ao ano: por proprietário, equipe de segurança ou equipe de privacidade

Avaliações de risco da conta de serviço ou revisões formais

Se sua conta estiver comprometida por uma fonte não autorizada, avalie os riscos para aplicativos, serviços e infraestrutura associados. Considere riscos diretos e indiretos:

  • Recursos aos quais um usuário não autorizado pode obter acesso
    • Outras informações ou sistemas que a conta de serviço pode acessar
  • Permissões que a conta pode conceder
    • Indicações ou sinais quando as permissões são alteradas

Após a avaliação de risco, a documentação provavelmente mostra que os riscos afetam a conta:

  • Restrições
  • Tempo de vida
  • Examinar os requisitos
    • Cadência e revisores

Criar uma conta de serviço e aplicar restrições de conta

Observação

Crie uma conta de serviço após a avaliação de risco e documente as conclusões em um CMDB. Alinhe as restrições de conta com as conclusões da avaliação de risco.

Considere as seguintes restrições, embora algumas possam não ser relevantes para sua avaliação.

Revisões da conta de serviço

Agende revisões regulares da conta de serviço, especialmente aquelas classificadas de Médio e Alto Risco. As revisões podem incluir:

  • Declaração do proprietário sobre a necessidade da conta, com justificativa para as permissões e escopos
  • Revisões da equipe de privacidade e segurança que incluem dependências upstream e downstream
  • Revisão de dados de auditoria
  • Verifique se a conta é usada para sua finalidade declarada

Desprovisionar contas de serviço

Desprovisionar contas de serviço nas seguintes conjunturas:

  • Desativação do script ou aplicativo para o qual a conta de serviço foi criada
  • Desativação da função de script ou aplicativo, para a qual a conta de serviço foi usada
  • Substituição de uma conta de serviço por outra

Para desprovisionar:

  1. Remova permissões e monitoramento.
  2. Examine as entradas e o acesso a recursos de contas de serviço relacionadas para garantir que não haja nenhum efeito potencial sobre elas.
  3. Impedir o acesso à conta.
  4. Verifique se a conta não é mais necessária (não há reclamação).
  5. Crie uma política de negócios que determine a quantidade de tempo que as contas estão desabilitadas.
  6. Exclua a conta de serviço.
  • MSAs - confira Uninstall-ADServiceAccount
    • Use o PowerShell ou exclua-o manualmente do contêiner da conta de serviço gerenciado
  • Contas de computador ou de usuário – exclua manualmente a conta do Active Directory

Próximas etapas

Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos:

  • Last updated on