Proteger contas de serviço baseadas em usuário no Active Directory

Artigo
10/25/2023

As contas de usuário locais consistiam na abordagem tradicional para ajudar a proteger os serviços executados no Windows. Hoje, você deve usar essas contas quando gMSAs (contas de serviço gerenciadas por grupo) e sMSAs (contas de serviço gerenciadas autônomas) não são compatíveis com o serviço. Para saber mais sobre o tipo de conta a ser usado, confira Proteger contas de serviço locais.

É possível investigar a migração do serviço para uma conta de serviço do Azure, como uma identidade gerenciada ou uma entidade de serviço.

Saiba mais:

É possível criar contas de usuário locais a fim de fornecer segurança para serviços e permissões usados pelas contas para acessar recursos locais e de rede. As contas de usuário locais exigem gerenciamento manual de senhas, como outras contas de usuário do AD (Active Directory). Os administradores de serviço e domínio devem manter processos de gerenciamento de senhas sólidos para ajudar a manter as contas seguras.

Ao criar uma conta de usuário como uma conta de serviço, use-a para um serviço. Use uma convenção de nomenclatura que esclareça que ela é uma conta de serviço e o serviço ao qual ela está relacionada.

Benefícios e desafios

As contas de usuário locais são um tipo de conta versátil. As contas de usuário usadas como contas de serviço são controladas por políticas que regem as contas de usuário. Use-as se não for possível usar uma MSA. Avalie se uma conta de computador é uma opção melhor.

Os desafios das contas de usuário locais são resumidos na seguinte tabela:

Desafio	Atenuação
O gerenciamento de senhas é manual e resulta em uma segurança mais fraca e em um tempo de inatividade para o serviço	– Garanta a complexidade regular da senha e que as alterações sejam controladas por um processo que mantenha senhas fortes – Coordene as alterações de senha com uma senha de serviço, a fim de reduzir o tempo de inatividade do serviço
Identificar contas de usuário locais que são contas de serviço pode ser uma tarefa difícil	– Documente as contas de serviço implantadas no ambiente – Rastreie o nome da conta e os recursos que podem ser acessados – Considere adicionar o prefixo svc a contas de usuário usadas como contas de serviço

Encontrar contas de usuário locais usadas como contas de serviço

As contas de usuário locais são semelhantes a outras contas de usuário do AD. Essas contas podem ser difíceis de encontrar, pois nenhum atributo de conta de usuário as identifica como contas de serviço. Recomenda-se criar uma convenção de nomenclatura para contas de usuário usadas como contas de serviço. Por exemplo, adicione o prefixo svc a um nome de serviço: svc-HRDataConnector.

Use alguns dos critérios a seguir para encontrar contas de serviço. No entanto, essa abordagem pode não encontrar as seguintes contas:

Confiável para delegação
Com nomes de entidades de serviço
Com senhas que nunca expiram

Para localizar as contas de usuário locais usadas para serviços, execute os seguintes comandos do PowerShell:

Para encontrar contas confiáveis para delegação, faça o seguinte:


Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}

Para encontrar contas com nomes de entidades de serviço, faça o seguinte:


Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}

Para encontrar contas com senhas que nunca expiram, faça o seguinte:


Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}

É possível auditar o acesso a recursos confidenciais e arquivar os logs de auditoria em um sistema de SIEM (gerenciamento de eventos e informações de segurança). Usando o Azure Log Analytics ou o Microsoft Sentinel, é possível pesquisar e analisar contas de serviço.

Avaliar a segurança de uma conta de usuário local

Siga os seguintes critérios para avaliar a segurança de contas de usuário locais usadas como contas de serviço:

Política de gerenciamento de senhas
Contas com associação em grupos privilegiados
Permissões de leitura/gravação para recursos importantes

Reduzir possíveis problemas de segurança

Confira a seguinte tabela com possíveis problemas de segurança de conta de usuário local e as respectivas mitigações:

Problema de segurança	Atenuação
Gerenciamento de senhas	– Verifique se a complexidade e a alteração da senha são regidas por atualizações regulares e por requisitos de senha rígidos – Coordene as alterações de senha com uma atualização de senha para minimizar o tempo de inatividade do serviço
A conta é membro de grupos privilegiados	– Revise a associação ao grupo – Remova a conta de grupos privilegiados – Conceda à conta direitos e permissões para executar o respectivo serviço (confira com o fornecedor do serviço) – Por exemplo, negue a entrada local ou interativa
A conta tem permissões de leitura/gravação para recursos confidenciais	– Audite o acesso a recursos confidenciais – Arquive os logs de auditoria em um SIEM: Azure Log Analytics ou Microsoft Sentinel – Corrija as permissões de recursos se você detectar níveis de acesso indesejáveis

Tipos de conta seguros

A Microsoft não recomenda o uso de contas de usuário locais como contas de serviço. Para serviços que usam esse tipo de conta, avalie se é possível configurá-los para usar uma gMSA ou sMSA. Além disso, avalie se é possível mover o serviço para o Azure a fim de permitir o uso de tipos de conta mais seguros.

Próximas etapas

Para saber mais sobre como proteger as contas de serviço:

Compartilhar via