Защита учетных записей служб на основе пользователей в Active Directory

Статья
10/24/2023

Локальные учетные записи пользователей были традиционным подходом для защиты служб, работающих в Windows. Сегодня используйте эти учетные записи, если групповые управляемые учетные записи служб (gMSAs) и автономные управляемые учетные записи служб (SMSAs) не поддерживаются службой. Сведения об используемом типе учетной записи см. в разделе "Защита локальных учетных записей служб".

Вы можете изучить перемещение службы учетной записи службы Azure, например управляемого удостоверения или субъекта-службы.

Подробнее:

Вы можете создать локальные учетные записи пользователей, чтобы обеспечить безопасность служб и разрешений, используемых для доступа к локальным и сетевым ресурсам. Для локальных учетных записей пользователей требуется ручное управление паролями, например другие учетные записи пользователей Active Directory (AD). Администраторы служб и доменов должны поддерживать надежные процессы управления паролями, чтобы обеспечить безопасность учетных записей.

При создании учетной записи пользователя в качестве учетной записи службы используйте ее для одной службы. Используйте соглашение об именовании, которое указывает, что это учетная запись службы, а также связанная с ней служба.

Преимущества и сложности

Локальные учетные записи пользователей — это универсальный тип учетной записи. Учетные записи пользователей, используемые в качестве учетных записей служб, контролируются политиками, определяющими учетные записи пользователей. Используйте их, если вы не можете использовать MSA. Оцените, является ли учетная запись компьютера лучшей.

Проблемы локальных учетных записей пользователей приведены в следующей таблице:

Задача	Исправление
Управление паролями выполняется вручную и приводит к более слабой безопасности и простою службы	— Обеспечение регулярной сложности паролей и изменения управляются процессом, поддерживающим надежные пароли — координация изменений паролей с помощью пароля службы, что помогает сократить время простоя службы.
Определение локальных учетных записей пользователей, которые являются учетными записями служб, может быть сложной задачей.	— Учетные записи службы документов, развернутые в вашей среде . Отслеживание имени учетной записи и ресурсов, к которым они могут получить доступ . Попробуйте добавить префикс svc в учетные записи пользователей, используемые в качестве учетных записей служб.

Задача

Исправление

Управление паролями выполняется вручную и приводит к более слабой безопасности и простою службы

— Обеспечение регулярной сложности паролей и изменения управляются процессом, поддерживающим надежные пароли
— координация изменений паролей с помощью пароля службы, что помогает сократить время простоя службы.

Определение локальных учетных записей пользователей, которые являются учетными записями служб, может быть сложной задачей.

— Учетные записи службы документов, развернутые в вашей среде
. Отслеживание имени учетной записи и ресурсов, к которым они могут получить доступ
. Попробуйте добавить префикс svc в учетные записи пользователей, используемые в качестве учетных записей служб.

Поиск учетных записей пользователей, которые используются как учетные записи служб

Локальные учетные записи пользователей похожи на другие учетные записи пользователей AD. Трудно найти учетные записи, так как атрибут учетной записи пользователя не определяет его как учетную запись службы. Рекомендуется создать соглашение об именовании для учетных записей пользователей, которые используются в качестве учетных записей служб. Например, добавьте префикс svc в имя службы: svc-HRData Подключение or.

Используйте некоторые из следующих условий для поиска учетных записей служб. Однако такой подход может не найти учетные записи:

Доверенный для делегирования
С именами субъектов-служб
Срок действия паролей, которые никогда не истекают

Чтобы найти локальные учетные записи пользователей, используемые для служб, выполните следующие команды PowerShell:

Чтобы найти учетные записи, доверенные для делегирования:


Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}

Чтобы найти учетные записи с именами субъектов-служб, выполните приведенные далее действия.


Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}

Чтобы найти учетные записи с паролями, которые никогда не истекают, выполните приведенные далее действия.


Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}

Вы можете выполнять аудит доступа к конфиденциальным ресурсам и архивировать журналы аудита в системе управления сведениями безопасности и событиями (SIEM). С помощью Azure Log Analytics или Microsoft Sentinel можно искать и анализировать учетные записи служб.

Оценка безопасности локальной учетной записи пользователя

Используйте следующие критерии для оценки безопасности локальных учетных записей пользователей, используемых в качестве учетных записей служб:

Политика управления паролями
Учетные записи с членством в привилегированных группах
Разрешения на чтение и запись важных ресурсов

Устранение потенциальных проблем безопасности

См. следующую таблицу, чтобы узнать о потенциальных проблемах безопасности учетной записи пользователей и их устранении.

Проблема безопасности	Исправление
Управление паролями	— Убедитесь, что изменение сложности паролей и изменение пароля регулируются регулярными обновлениями и строгими требованиями к паролям— координация изменений паролей с обновлением пароля, чтобы свести к минимуму время простоя службы.
Учетная запись является членом привилегированных групп	— Просмотр членства в группе. Удаление учетной записи из привилегированных групп — предоставление прав и разрешений учетной записи для запуска службы (например, запрет входа локально или интерактивного входа в систему)
У учетной записи есть разрешения на чтение и запись для конфиденциальных ресурсов	— Аудит доступа к конфиденциальным ресурсам — архивирование журналов аудита в SIEM: Azure Log Analytics или Microsoft Sentinel — устранение разрешений ресурсов при обнаружении нежелательных уровней доступа

Безопасные типы учетных записей

Корпорация Майкрософт не рекомендует использовать локальные учетные записи пользователей в качестве учетных записей служб. Для служб, использующих этот тип учетной записи, оцените, можно ли настроить использование gMSA или sMSA. Кроме того, оцените, можно ли переместить службу в Azure, чтобы включить использование более безопасных типов учетных записей.

Следующие шаги

Узнайте больше о защите учетных записей служб:

Поделиться через