Protegê-los, com base nos requisitos e na finalidade
Gerenciando o ciclo de vida da conta e suas credenciais
Avaliação de contas de serviço, com base em riscos e permissões
Garantir que o Ative Directory (AD) e o Microsoft Entra ID não tenham contas de serviço não utilizadas, com permissões
Novos princípios da conta de serviço
Ao criar contas de serviço, considere as informações na tabela a seguir.
Princípio
Consideração
Mapeamento de conta de serviço
Conectar a conta de serviço a um serviço, aplicativo ou script
Propriedade
Certifique-se de que há um proprietário da conta que solicita e assume a responsabilidade
Âmbito
Definir o escopo e antecipar a duração do uso
Objetivo
Criar contas de serviço para uma finalidade
Permissões
Aplique o princípio da mínima permissão: - Não atribua permissões a grupos internos, como administradores - Remova as permissões da máquina local, quando viável - Personalize o acesso e use a delegação do AD para acesso ao diretório - Use permissões de acesso granulares - Defina a expiração da conta e restrições de localização em contas de serviço baseadas no usuário
Monitorar e auditar o uso
- Monitorize os dados de início de sessão e certifique-se de que correspondem à utilização pretendida - Definir alertas para uso anômalo
Restrições da conta de utilizador
Para contas de usuário usadas como contas de serviço, aplique as seguintes configurações:
Expiração da conta - defina a conta de serviço para expirar automaticamente, após o período de revisão, a menos que a conta possa continuar
LogonWorkstations - restringir permissões de entrada na conta de serviço
Se ele for executado localmente e acessar recursos na máquina, restrinja-o de entrar em outro lugar
Can't change password - defina o parâmetro como true para impedir que a conta de serviço altere sua própria senha
Processo de gestão do ciclo de vida
Para ajudar a manter a segurança da conta de serviço, gerencie-a desde o início até a desativação. Use o seguinte processo:
Colete informações de uso da conta.
Mova a conta de serviço e o aplicativo para o banco de dados de gerenciamento de configuração (CMDB).
Realizar uma avaliação de risco ou uma revisão formal.
Crie a conta de serviço e aplique restrições.
Agende e realize revisões recorrentes.
Ajuste as permissões e os escopos conforme necessário.
Desprovisionar a conta.
Coletar informações de uso da conta de serviço
Colete informações relevantes para cada conta de serviço. A tabela a seguir lista as informações mínimas a serem coletadas. Obtenha o que é necessário para validar cada conta.
Dados
Description
Proprietário
O usuário ou grupo responsável pela conta de serviço
Objetivo
A finalidade da conta de serviço
Permissões (escopos)
As permissões esperadas
Links CMDB
A conta de serviço de ligação cruzada com o script ou aplicação de destino e proprietários
Risco
Resultados de uma avaliação dos riscos para a segurança
Vitalício
O tempo de vida máximo previsto para agendar a expiração ou recertificação da conta
Faça com que a conta solicite o autoatendimento e solicite as informações relevantes. O proprietário é um proprietário de aplicativo ou empresa, um membro da equipe de TI ou um proprietário de infraestrutura. Você pode usar o Microsoft Forms para solicitações e informações associadas. Se a conta for aprovada, use o Microsoft Forms para portá-la para uma ferramenta de inventário de bancos de dados de gerenciamento de configuração (CMDB).
Contas de serviço e CMDB
Armazene as informações coletadas em um aplicativo CMDB. Inclua dependências em infraestrutura, aplicativos e processos. Utilize este repositório central para:
Avaliar o risco
Configurar a conta de serviço com restrições
Verificar dependências funcionais e de segurança
Realizar revisões regulares de segurança e necessidade contínua
Entre em contato com o proprietário para revisar, desativar e alterar a conta de serviço
Exemplo de cenário de RH
Um exemplo é uma conta de serviço que executa um site com permissões para se conectar a bancos de dados SQL de Recursos Humanos. As informações na conta de serviço CMDB, incluindo exemplos, estão na tabela a seguir:
Dados
Exemplo
Proprietário, Adjunto
Nome, Nome
Objetivo
Execute a página da Web de RH e conecte-se a bancos de dados de RH. Represente os usuários finais ao acessar bancos de dados.
Permissões, escopos
HR-WEBServer: inicie sessão localmente; Executar página da Web HR-SQL1: inicie sessão localmente; permissões de leitura em bancos de dados de RH HR-SQL2: entre localmente; permissões de leitura somente no banco de dados de salários
Centro de custos
123456
Risco avaliado
Média; Impacto nos Negócios: Médio; informação privada; Média
Restrições de conta
Inicie sessão em: apenas os servidores acima mencionados; Não é possível alterar a palavra-passe; MBI-Política de Senhas;
Vitalício
Sem restrição
Ciclo de revisão
Semestralmente: Por proprietário, equipe de segurança ou equipe de privacidade
Avaliações de risco da conta de serviço ou revisões formais
Se sua conta for comprometida por uma fonte não autorizada, avalie os riscos para aplicativos, serviços e infraestrutura associados. Considere os riscos diretos e indiretos:
Recursos aos quais um usuário não autorizado pode ter acesso
Outras informações ou sistemas que a conta de serviço pode acessar
Permissões que a conta pode conceder
Indicações ou sinais quando as permissões mudam
Após a avaliação de riscos, a documentação provavelmente mostra que os riscos afetam a conta:
Restrições
Vitalício
Requisitos de revisão
Cadência e revisores
Criar uma conta de serviço e aplicar restrições de conta
Nota
Crie uma conta de serviço após a avaliação de risco e documente as descobertas em um CMDB. Alinhe as restrições da conta com as descobertas da avaliação de risco.
Considere as seguintes restrições, embora algumas possam não ser relevantes para a sua avaliação.
Para contas de usuário usadas como contas de serviço, defina uma data de término realista
Use o sinalizador Conta expira para definir a data
Proteja seu ambiente do Ative Directory protegendo as contas de usuário com privilégios mínimos e colocando-as no grupo Usuários Protegidos. Saiba como limitar o escopo de autenticação e corrigir contas potencialmente inseguras.
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.