Styra lokala tjänstkonton

Artikel
2023-10-24

Active Directory erbjuder fyra typer av lokala tjänstkonton:

Grupphanterade tjänstkonton (gMSAs)
- Skydda grupphanterade tjänstkonton
Fristående hanterade tjänstkonton (sMSAs)
- Skydda fristående hanterade tjänstkonton
Lokala datorkonton
- Skydda lokala datorkonton med Active Directory
Användarkonton som fungerar som tjänstkonton
- Skydda användarbaserade tjänstkonton i Active Directory

En del av styrningen av tjänstkontot omfattar:

Skydda dem, baserat på krav och syfte
Hantera kontolivscykeln och deras autentiseringsuppgifter
Utvärdera tjänstkonton baserat på risk och behörigheter
Se till att Active Directory (AD) och Microsoft Entra ID inte har några oanvända tjänstkonton med behörigheter

Principer för nytt tjänstkonto

När du skapar tjänstkonton bör du överväga informationen i följande tabell.

Princip	Att tänka på
Mappning av tjänstkonto	Anslut tjänstkontot till en tjänst, ett program eller ett skript
Ägarskap	Se till att det finns en kontoägare som begär och tar ansvar
Omfattning	Definiera omfånget och förutse användningstiden
Syfte	Skapa tjänstkonton för ett syfte
Behörigheter	Tillämpa principen om minsta behörighet: – Tilldela inte behörigheter till inbyggda grupper, till exempel administratörer – Ta bort behörigheter för lokala datorer, där det är möjligt – Skräddarsy åtkomst och använd AD-delegering för katalogåtkomst – Använd detaljerade åtkomstbehörigheter – Ange kontoförfallodatum och platsbegränsningar för användarbaserade tjänstkonton
Övervaka och granska användning	– Övervaka inloggningsdata och se till att de matchar den avsedda användningen – Ange aviseringar för avvikande användning

Begränsningar för användarkonton

Använd följande inställningar för användarkonton som används som tjänstkonton:

Förfallodatum för kontot – ange att tjänstkontot ska upphöra att gälla automatiskt efter granskningsperioden, såvida inte kontot kan fortsätta
Inloggningsstationer – begränsa inloggningsbehörigheter för tjänstkonto
- Om den körs lokalt och får åtkomst till resurser på datorn kan du begränsa den från att logga in någon annanstans
Det går inte att ändra lösenord – ange parametern till true för att förhindra att tjänstkontot ändrar sitt eget lösenord

Livscykelhanteringsprocess

För att upprätthålla säkerheten för tjänstkontot kan du hantera dem från start till avaktiv. Använd följande process:

Samla in information om kontoanvändning.
Flytta tjänstkontot och appen till konfigurationshanteringsdatabasen (CMDB).
Utför riskbedömning eller en formell granskning.
Skapa tjänstkontot och tillämpa begränsningar.
Schemalägga och utföra återkommande granskningar.
Justera behörigheter och omfång efter behov.
Avetablera kontot.

Samla in användningsinformation för tjänstkonto

Samla in relevant information för varje tjänstkonto. I följande tabell visas den minsta information som ska samlas in. Hämta det som behövs för att verifiera varje konto.

Data	beskrivning
Ägare	Den användare eller grupp som ansvarar för tjänstkontot
Syfte	Syftet med tjänstkontot
Behörigheter (omfång)	De förväntade behörigheterna
CMDB-länkar	Korslänktjänstkontot med målskriptet eller programmet och ägare
Risk	Resultatet av en säkerhetsriskbedömning
Livstid	Den förväntade maximala livslängden för att schemalägga kontoförfallodatum eller omcertifiering

Gör kontobegäran självbetjäning och kräva relevant information. Ägaren är ett program eller en företagsägare, en IT-teammedlem eller en infrastrukturägare. Du kan använda Microsoft Forms för begäranden och tillhörande information. Om kontot har godkänts använder du Microsoft Forms för att portera det till ett cmdb-inventeringsverktyg (Configuration Management Databases).

Tjänstkonton och CMDB

Lagra den insamlade informationen i ett CMDB-program. Inkludera beroenden för infrastruktur, appar och processer. Använd den här centrala lagringsplatsen för att:

Utvärdera risker
Konfigurera tjänstkontot med begränsningar
Fastställa funktions- och säkerhetsberoenden
Genomför regelbundna granskningar för säkerhet och fortsatt behov
Kontakta ägaren för att granska, dra tillbaka och ändra tjänstkontot

Exempel på HR-scenario

Ett exempel är ett tjänstkonto som kör en webbplats med behörighet att ansluta till SQL-databaser för personalfrågor. Informationen i tjänstkontots CMDB, inklusive exempel, finns i följande tabell:

Data	Exempel
Ägare, ställföreträdare	Namn, namn
Syfte	Kör HR-webbsidan och anslut till HR-databaser. Personifiera slutanvändare vid åtkomst till databaser.
Behörigheter, omfång	HR-WEBServer: logga in lokalt; kör webbsida HR-SQL1: logga in lokalt; läsbehörigheter för HR-databaser HR-SQL2: logga in lokalt; läsbehörigheter endast för lönedatabasen
Kostnadsställe	123456
Riskbedös	Medium; Affärspåverkan: Medel; privat information. Medium
Kontobegränsningar	Logga in på: endast ovan nämnda servrar; Det går inte att ändra lösenord. MBI-lösenordsprincip;
Livstid	Obegränsat
Granskningscykel	Halvårsvis: Efter ägare, säkerhetsteam eller sekretessteam

Riskbedömningar av tjänstkonton eller formella granskningar

Om ditt konto komprometteras av en obehörig källa ska du utvärdera riskerna för associerade program, tjänster och infrastruktur. Överväg direkta och indirekta risker:

Resurser som en obehörig användare kan få åtkomst till
- Annan information eller andra system som tjänstkontot kan komma åt
Behörigheter som kontot kan bevilja
- Indikationer eller signaler när behörigheterna ändras

Efter riskbedömningen visar dokumentationen sannolikt att risker påverkar kontot:

Begränsningar
Livstid
Granska krav
- Kadens och granskare

Skapa ett tjänstkonto och tillämpa kontobegränsningar

Anteckning

Skapa ett tjänstkonto efter riskbedömningen och dokumentera resultaten i en CMDB. Justera kontobegränsningar med riskbedömningsresultat.

Tänk på följande begränsningar, även om vissa kanske inte är relevanta för din utvärdering.

För användarkonton som används som tjänstkonton definierar du ett realistiskt slutdatum
- Använd flaggan Förfallodatum för konto för att ange datumet
- Läs mer: Set-ADAccountExpiration
Se Set-ADUser (Active Directory)
Krav för lösenordsprinciper
- Se principer för lösenords- och kontoutelåsning på Hanterade domäner i Microsoft Entra Domain Services
Skapa konton på en organisationsenhetsplats som ser till att endast vissa användare hanterar det
- Se Delegera administration av konto-OUs och resurs-OUs
Konfigurera och samla in granskning som identifierar ändringar i tjänstkontot:
- Se Granska katalogtjänständringar och
- Gå till manageengine.com för Så här granskar du Kerberos-autentiseringshändelser i AD
Bevilja kontoåtkomst på ett säkrare sätt innan det går till produktion

Granskningar av tjänstkonto

Schemalägg granskningar av regelbundna tjänstkonton, särskilt de som klassificeras som Medelhög och Hög risk. Recensioner kan vara:

Ägarattestering av behovet av kontot, med motivering av behörigheter och omfång
Sekretess- och säkerhetsteamgranskningar som omfattar uppströms- och nedströmsberoenden
Granska datagranskning
Se till att kontot används för sitt angivna syfte

Avetablera tjänstkonton

Avetablera tjänstkonton vid följande tidpunkter:

Tillbakadragning av skriptet eller programmet som tjänstkontot skapades för
Tillbakadragning av skriptet eller programfunktionen, för vilken tjänstkontot användes
Ersättning av tjänstkontot för en annan

Så här avetabler du:

Ta bort behörigheter och övervakning.
Granska inloggningar och resursåtkomst för relaterade tjänstkonton för att säkerställa att de inte påverkas.
Förhindra kontoinloggning.
Kontrollera att kontot inte längre behövs (det finns inget klagomål).
Skapa en affärsprincip som avgör hur lång tid konton är inaktiverade.
Ta bort tjänstkontot.

MSAs – se Uninstall-ADServiceAccount
- Använd PowerShell eller ta bort det manuellt från containern för det hanterade tjänstkontot
Dator- eller användarkonton – ta bort kontot manuellt från Active Directory

Nästa steg

Mer information om hur du skyddar tjänstkonton finns i följande artiklar:

Dela via