Управление локальными учетными записями служб
Active Directory предлагает четыре типа локальных учетных записей служб.
- Учетные записи служб, управляемые группой (gMSAs)
- Автономные управляемые учетные записи служб (SMSAs)
- Локальные учетные записи компьютеров
- Учетные записи пользователей, работающие как учетные записи службы
Часть управления учетной записью службы включает в себя:
- Защита их на основе требований и целей
- Управление жизненным циклом учетной записи и их учетными данными
- Оценка учетных записей служб на основе рисков и разрешений
- Обеспечение отсутствия неиспользуемых учетных записей служб Active Directory (AD) и идентификатора Microsoft Entra с разрешениями
Новые принципы учетной записи службы
При создании учетных записей служб рассмотрите сведения в следующей таблице.
| Принцип | Фактор |
|---|---|
| Сопоставление учетной записи службы | Подключение учетную запись службы в службу, приложение или скрипт |
| Тип собственности | Убедитесь, что владелец учетной записи запрашивает и берет на себя ответственность |
| Область | Определение область и прогнозирование длительности использования |
| Назначение | Создание учетных записей служб для одной цели |
| Разрешения | Примените принцип наименьшего разрешения. Не назначайте разрешения встроенным группам, таким как администраторы : удаление разрешений локального компьютера, где это возможно . Настройка доступа и использование делегирования AD для доступа к каталогам . Использование подробных разрешений на доступ к каталогам . Установка ограничений срока действия учетной записи и расположения учетных записей служб на основе пользователей |
| Мониторинг и аудит использования | — Отслеживайте данные входа и убедитесь, что оно соответствует предполагаемому использованию . Настройка оповещений об аномальном использовании |
Ограничения учетной записи пользователя
Для учетных записей пользователей, используемых в качестве учетных записей служб, примените следующие параметры:
- Истечение срока действия учетной записи — установите учетную запись службы автоматически истекает после его периода проверки, если учетная запись не может продолжиться.
- LogonWorkstations — ограничение разрешений на вход учетной записи службы
- Если он выполняется локально и получает доступ к ресурсам на компьютере, ограничьте его вход в другое место.
- Не удается изменить пароль . Задайте для параметра значение true , чтобы предотвратить изменение учетной записи службы собственного пароля.
Процесс управления жизненным циклом
Чтобы обеспечить безопасность учетной записи службы, управляйте ими с момента создания до вывода из эксплуатации. Используйте следующий процесс:
- Сбор сведений об использовании учетной записи.
- Перенос учетной записи службы и приложения в базу данных управления конфигурацией (CMDB).
- Выполнение оценки рисков или формального анализа.
- Создание учетной записи службы и применение ограничений.
- Планирование и выполнение повторяющихся проверок.
- При необходимости настройте разрешения и область.
- Отмена подготовки учетной записи.
Сбор сведений об использовании учетной записи службы
Сбор соответствующих сведений для каждой учетной записи службы. В следующей таблице перечислены минимальные сведения для сбора. Получите необходимые сведения для проверки каждой учетной записи.
| Data | Description |
|---|---|
| Владелец | Учетная запись пользователя или группы для учетной записи службы |
| Назначение | Назначение учетной записи службы |
| Разрешения (области) | Ожидаемые разрешения |
| Ссылки CMDB | Учетная запись службы перекрестной связи с целевым скриптом или приложением и владельцами |
| Риск | Результаты оценки рисков безопасности |
| Время существования | Ожидаемое максимальное время существования для планирования срока действия учетной записи или повторной сертификации |
Сделайте запрос учетной записи самостоятельной службой и требуйте соответствующих сведений. Владелец — это приложение или владелец бизнеса, ит-член группы или владелец инфраструктуры. Microsoft Forms можно использовать для запросов и связанных сведений. Если учетная запись утверждена, используйте Microsoft Forms, чтобы перенести ее в средство инвентаризации баз данных управления конфигурацией (CMDB).
Учетные записи служб и CMDB
Храните собранные сведения в приложении CMDB. Включите зависимости от инфраструктуры, приложений и процессов. Используйте этот центральный репозиторий для:
- Оценка риска
- Настройка учетной записи службы с ограничениями
- Определение функциональных и зависимостей безопасности
- Проведение регулярных проверок безопасности и продолжающейся необходимости
- Обратитесь к владельцу, чтобы просмотреть, уйти в отставку и изменить учетную запись службы.
Пример сценария управления персоналом
Примером является учетная запись службы, которая запускает веб-сайт с разрешениями на подключение к базам данных SQL Human Resources. Сведения в CMDB учетной записи службы, включая примеры, приведены в следующей таблице:
| Data | Пример |
|---|---|
| Владелец, представитель | Имя, имя |
| Назначение | Запуск веб-страницы управления кадрами и подключение к базе данных управления кадрами. Олицетворение конечных пользователей при доступе к базам данных. |
| Разрешения, области | HR-WEBServer: локальный вход, запуск веб-страницы HR-SQL1: войдите локально; разрешения на чтение для баз данных отдела кадров HR-SQL2: локальный вход; разрешения на чтение только для базы данных оклада |
| Центр затрат. | 123456 |
| Оценка риска | Средний; Влияние на бизнес: среднее; Конфиденциальность информации: средняя |
| ограничения учетной записи; | Войдите на: только указанные выше упоминание серверы; Не удается изменить пароль; политика паролей МБ I; |
| Время существования | С неограниченным доступом |
| Цикл проверки | Бьяннули: владелец, команда безопасности или команда конфиденциальности |
Оценки рисков учетной записи службы или официальные проверки
Если ваша учетная запись скомпрометирована несанкционированным источником, оцените риски для связанных приложений, служб и инфраструктуры. Рассмотрите прямые и косвенные риски:
- Ресурсы, к которым неавторизованный пользователь может получить доступ
- Другие сведения или системы, к учетной записи службы можно получить доступ
- Разрешения, которые может предоставить учетная запись
- Признаки или сигналы при изменении разрешений
После оценки риска документация, вероятно, показывает, что риски влияют на учетную запись:
- Ограничения
- Время существования
- Проверка требований
- Каденс и рецензенты
Создание учетной записи службы и применение ограничений для учетной записи
Примечание.
Создайте учетную запись службы после оценки рисков и задокументируйте результаты в CMDB. Выравнивание ограничений учетной записи с результатами оценки рисков.
Рассмотрим следующие ограничения, хотя некоторые могут не иметь отношения к оценке.
- Для учетных записей пользователей, используемых в качестве учетных записей служб, определите реалистичную дату окончания.
- Использование флага "Срок действия учетной записи" для задания даты
- Дополнительные сведения: Set-ADAccountExpiration
- См. раздел "Set-ADUser" (Active Directory)
- Требования к политике паролей
- Создание учетных записей в расположении подразделения, которое гарантирует, что только некоторые пользователи будут управлять им.
- Настройте и соберите аудит, который обнаруживает изменения учетной записи службы:
- См. изменения службы каталогов аудита и
- Перейдите к manageengine.com для аудита событий проверки подлинности Kerberos в AD
- Предоставление доступа к учетной записи более безопасно перед переходом в рабочую среду
Проверки учетной записи службы
Планирование регулярных проверок учетных записей служб, особенно тех, которые классифицируют средний и высокий риск. Проверки могут включать:
- Аттестация владельца для учетной записи с обоснованием разрешений и область
- Проверки конфиденциальности и безопасности группы безопасности, включающие вышестоящий и подчиненные зависимости
- Проверка данных аудита
- Убедитесь, что учетная запись используется для ее указанной цели
Отмена предоставления учетных записей служб
Учетные записи службы отмены подготовки на следующих моментах:
- Прекращение использования скрипта или приложения, для которого была создана учетная запись службы
- Прекращение использования скрипта или функции приложения, для которой использовалась учетная запись службы
- Замена учетной записи службы на другую
Чтобы отменить подготовку, выполните следующие действия.
- Удалите разрешения и мониторинг.
- Проверьте входы и доступ к ресурсам связанных учетных записей служб, чтобы гарантировать отсутствие потенциального влияния на них.
- Запрет входа в учетную запись.
- Убедитесь, что учетная запись больше не нужна (нет жалобы).
- Создайте бизнес-политику, которая определяет время отключения учетных записей.
- Удалите учетную запись службы.
- MSAs — see, Uninstall-ADServiceAccount
- Использование PowerShell или удаление его вручную из контейнера управляемой учетной записи службы
- Учетные записи компьютеров или пользователей — вручную удалите учетную запись из Active Directory
Следующие шаги
Дополнительные сведения о защите учетных записей служб см. в следующих статьях:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по