Skydda lokala datorkonton med Active Directory
Ett datorkonto, eller Ett LocalSystem-konto, har hög behörighet med åtkomst till nästan alla resurser på den lokala datorn. Kontot är inte associerat med inloggade användarkonton. Tjänster körs som LocalSystem-åtkomst till nätverksresurser genom att visa datorns autentiseringsuppgifter för fjärrservrar i formatet <domain_name>\\<computer_name>$. Det fördefinierade namnet på datorkontot är NT AUTHORITY\SYSTEM. Du kan starta en tjänst och tillhandahålla säkerhetskontext för den tjänsten.
Fördelar med att använda ett datorkonto
Ett datorkonto har följande fördelar:
- Obegränsad lokal åtkomst – datorkontot ger fullständig åtkomst till datorns lokala resurser
- Automatisk lösenordshantering – tar bort behovet av manuellt ändrade lösenord. Kontot är medlem i Active Directory och dess lösenord ändras automatiskt. Med ett datorkonto behöver du inte registrera tjänstens huvudnamn.
- Begränsad åtkomstbehörighet utanför datorn – standardlistan för åtkomstkontroll i Active Directory-domän Services (AD DS) tillåter minimal åtkomst till datorkonton. Under åtkomst av en obehörig användare har tjänsten begränsad åtkomst till nätverksresurser.
Utvärdering av säkerhetsstatus för datorkonto
Använd följande tabell för att granska potentiella problem och åtgärder för datorkonton.
| Problem med datorkonto | Åtgärd |
|---|---|
| Datorkonton kan tas bort och återskapas när datorn lämnar och återansluter till domänen. | Bekräfta kravet på att lägga till en dator i en Active Directory-grupp. Om du vill verifiera datorkonton som lagts till i en grupp använder du skripten i följande avsnitt. |
| Om du lägger till ett datorkonto i en grupp får tjänster som körs som LocalSystem på den datorn åtkomstbehörigheter för grupper. | Var selektiv när det gäller gruppmedlemskap för datorkonton. Gör inte ett datorkonto till medlem i en domänadministratörsgrupp. Den associerade tjänsten har fullständig åtkomst till AD DS. |
| Felaktiga nätverksstandarder för LocalSystem. | Anta inte att datorkontot har standard begränsad åtkomst till nätverksresurser. Bekräfta i stället gruppmedlemskap för kontot. |
| Okända tjänster som körs som LocalSystem. | Se till att tjänster som körs under LocalSystem-kontot är Microsoft-tjänster eller betrodda tjänster. |
Hitta tjänster och datorkonton
Om du vill hitta tjänster som körs under datorkontot använder du följande PowerShell-cmdlet:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Om du vill hitta datorkonton som är medlemmar i en specifik grupp kör du följande PowerShell-cmdlet:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Kör följande PowerShell-cmdlet för att hitta datorkonton som är medlemmar i identitetsadministratörsgrupper (domänadministratörer, företagsadministratörer och administratörer):
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Rekommendationer för datorkonto
Viktigt!
Datorkonton är mycket privilegierade och använder dem därför om tjänsten kräver obegränsad åtkomst till lokala resurser på datorn och du inte kan använda ett hanterat tjänstkonto (MSA).
- Bekräfta att tjänstägarens tjänst körs med en MSA
- Använd ett grupphanterat tjänstkonto (gMSA) eller ett fristående hanterat tjänstkonto (sMSA) om tjänsten stöder det
- Använda ett domänanvändarkonto med de behörigheter som krävs för att köra tjänsten
Nästa steg
Mer information om hur du skyddar tjänstkonton finns i följande artiklar:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för