Skydda lokala tjänstkonton
En tjänst har en primär säkerhetsidentitet som avgör åtkomsträttigheterna för lokala resurser och nätverksresurser. Säkerhetskontexten för en Microsoft Win32-tjänst bestäms av tjänstkontot som används för att starta tjänsten. Du använder ett tjänstkonto för att:
- Identifiera och autentisera en tjänst.
- Starta en tjänst.
- Få åtkomst till eller köra kod eller ett program.
- Starta en process.
Typer av lokala tjänstkonton
Beroende på ditt användningsfall kan du använda ett hanterat tjänstkonto (MSA), ett datorkonto eller ett användarkonto för att köra en tjänst. Du måste först testa en tjänst för att bekräfta att den kan använda ett hanterat tjänstkonto. Om tjänsten kan använda en MSA bör du använda en.
Gruppera hanterade tjänstkonton
För tjänster som körs i din lokala miljö använder du grupphanterade tjänstkonton (gMSA) när det är möjligt. gMSAs tillhandahåller en enda identitetslösning för tjänster som körs på en servergrupp eller bakom en nätverkslastbalanserare. gMSAs kan också användas för tjänster som körs på en enda server. Information om kraven för gMSAs finns i Komma igång med grupphanterade tjänstkonton.
Fristående hanterade tjänstkonton
Om du inte kan använda en gMSA använder du ett fristående hanterat tjänstkonto (sMSA). sMSA kräver minst Windows Server 2008 R2. Till skillnad från gMSAs körs sMSA:er bara på en server. De kan användas för flera tjänster på servern.
Datorkonton
Om du inte kan använda en MSA kan du överväga att använda ett datorkonto. LocalSystem-kontot är ett fördefinierat lokalt konto som har omfattande behörigheter på den lokala datorn och fungerar som datoridentitet i nätverket.
Tjänster som körs som ett LocalSystem-konto får åtkomst till nätverksresurser med hjälp av autentiseringsuppgifterna för datorkontot i formatet <domain_name>\<computer_name>. Dess fördefinierade namn är NT AUTHORITY\SYSTEM. Du kan använda den för att starta en tjänst och tillhandahålla en säkerhetskontext för den tjänsten.
Kommentar
När du använder ett datorkonto kan du inte avgöra vilken tjänst på datorn som använder det kontot. Därför kan du inte granska vilken tjänst som gör ändringar.
Användarkonton
Om du inte kan använda en MSA kan du överväga att använda ett användarkonto. Ett användarkonto kan vara ett domänanvändarkonto eller ett lokalt användarkonto.
Med ett domänanvändarkonto kan tjänsten dra full nytta av tjänstsäkerhetsfunktionerna i Windows och Microsoft Active Directory-domän Services. Tjänsten har lokala behörigheter och nätverksbehörigheter som beviljats kontot. Det kommer också att ha behörigheter för alla grupper som kontot är medlem i. Domäntjänstkonton stöder ömsesidig Kerberos-autentisering.
Ett lokalt användarkonto (namnformat: .\UserName) finns bara i säkerhetskontohanterarens databas på värddatorn. Det har inget användarobjekt i Active Directory-domän Services. Ett lokalt konto kan inte autentiseras av domänen. Därför har en tjänst som körs i säkerhetskontexten för ett lokalt användarkonto inte åtkomst till nätverksresurser (förutom som en anonym användare). Tjänster som körs i den lokala användarkontexten kan inte stödja ömsesidig Kerberos-autentisering där tjänsten autentiseras av sina klienter. Därför är lokala användarkonton vanligtvis olämpliga för katalogaktiverade tjänster.
Viktigt!
Tjänstkonton bör inte vara medlemmar i några privilegierade grupper, eftersom privilegierat gruppmedlemskap ger behörigheter som kan vara en säkerhetsrisk. Varje tjänst bör ha ett eget tjänstkonto för granskning och säkerhetsändamål.
Välj rätt typ av tjänstkonto
| Kriterium | gMSA | Smsa | Datorkonto | Användarkonto |
|---|---|---|---|---|
| Appen körs på en enskild server | Ja | Ja. Använd en gMSA om möjligt. | Ja. Använd en MSA om möjligt. | Ja. Använd en MSA om möjligt. |
| Appen körs på flera servrar | Ja | Nej | Nej. Kontot är kopplat till servern. | Ja. Använd en MSA om möjligt. |
| Appen körs bakom en lastbalanserare | Ja | No | Nej | Ja. Använd endast om du inte kan använda en gMSA. |
| Appen körs på Windows Server 2008 R2 | Nej | Ja | Ja. Använd en MSA om möjligt. | Ja. Använd en MSA om möjligt. |
| Appen körs på Windows Server 2012 | Ja | Ja. Använd en gMSA om möjligt. | Ja. Använd en MSA om möjligt. | Ja. Använd en MSA om möjligt. |
| Krav på att begränsa tjänstkontot till en enskild server | Nej | Ja | Ja. Använd en sMSA om möjligt. | Nej |
Använda serverloggar och PowerShell för att undersöka
Du kan använda serverloggar för att avgöra vilka servrar och hur många servrar ett program körs på.
Om du vill hämta en lista över Windows Server-versionen för alla servrar i nätverket kan du köra följande PowerShell-kommando:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
Hitta lokala tjänstkonton
Vi rekommenderar att du lägger till ett prefix som "svc-" till alla konton som du använder som tjänstkonton. Den här namngivningskonventionen gör kontona enklare att hitta och hantera. Överväg också att använda ett beskrivningsattribut för tjänstkontot och ägaren av tjänstkontot. Beskrivningen kan vara ett teamalias eller en ägare av säkerhetsteamet.
Att hitta lokala tjänstkonton är nyckeln till att säkerställa deras säkerhet. Det kan vara svårt för icke-MSA-konton. Vi rekommenderar att du granskar alla konton som har åtkomst till dina viktiga lokala resurser och att du avgör vilka dator- eller användarkonton som kan fungera som tjänstkonton.
Information om hur du hittar ett tjänstkonto finns i artikeln om kontotypen i avsnittet "Nästa steg".
Dokumenttjänstkonton
När du har hittat tjänstkontona i din lokala miljö dokumenterar du följande information:
Ägare: Den person som ansvarar för att underhålla kontot.
Syfte: Programmet som kontot representerar eller något annat syfte.
Behörighetsomfång: De behörigheter som den har eller bör ha och alla grupper som den är medlem i.
Riskprofil: Risken för ditt företag om det här kontot komprometteras. Om risken är hög använder du en MSA.
Förväntad livslängd och periodisk attestering: Hur länge du förväntar dig att det här kontot ska vara live och hur ofta ägaren ska granska och intyga sitt pågående behov.
Lösenordssäkerhet: För användar- och lokala datorkonton, där lösenordet lagras. Se till att lösenorden hålls säkra och dokumentera vem som har åtkomst. Överväg att använda Privileged Identity Management för att skydda lagrade lösenord.
Nästa steg
Mer information om hur du skyddar tjänstkonton finns i följande artiklar: