Skydda användarbaserade tjänstkonton i Active Directory
Lokala användarkonton var den traditionella metoden för att skydda tjänster som körs i Windows. I dag använder du dessa konton om grupphanterade tjänstkonton (gMSA) och fristående hanterade tjänstkonton (sMSA) inte stöds av din tjänst. Information om vilken kontotyp som ska användas finns i Skydda lokala tjänstkonton.
Du kan undersöka hur du flyttar tjänsten till ett Azure-tjänstkonto, till exempel en hanterad identitet eller ett huvudnamn för tjänsten.
Läs mer:
Du kan skapa lokala användarkonton för att tillhandahålla säkerhet för tjänster och behörigheter som kontona använder för att få åtkomst till lokala resurser och nätverksresurser. Lokala användarkonton kräver manuell lösenordshantering, som andra Active Directory-användarkonton (AD). Tjänst- och domänadministratörer måste underhålla starka processer för lösenordshantering för att skydda konton.
När du skapar ett användarkonto som ett tjänstkonto använder du det för en tjänst. Använd en namngivningskonvention som klargör att det är ett tjänstkonto och den tjänst som den är relaterad till.
Fördelar och utmaningar
Lokala användarkonton är en mångsidig kontotyp. Användarkonton som används som tjänstkonton styrs av principer som styr användarkonton. Använd dem om du inte kan använda en MSA. Utvärdera om ett datorkonto är ett bättre alternativ.
Utmaningarna med lokala användarkonton sammanfattas i följande tabell:
| Utmaning | Åtgärd |
|---|---|
| Lösenordshantering är manuellt och leder till sämre säkerhets- och tjänstavbrott | – Säkerställa regelbunden lösenordskomplexitet och att ändringar styrs av en process som upprätthåller starka lösenord – Samordna lösenordsändringar med ett tjänstlösenord, vilket minskar tjänstavbrottstiden |
| Det kan vara svårt att identifiera lokala användarkonton som är tjänstkonton | – Dokumenttjänstkonton som distribueras i din miljö – Spåra kontonamnet och de resurser som de kan komma åt – Överväg att lägga till prefixet svc till användarkonton som används som tjänstkonton |
Hitta lokala användarkonton som används som tjänstkonton
Lokala användarkonton är som andra AD-användarkonton. Det kan vara svårt att hitta kontona eftersom inget användarkontoattribut identifierar det som ett tjänstkonto. Vi rekommenderar att du skapar en namngivningskonvention för användarkonton som använder som tjänstkonton. Lägg till exempel prefixet svc i ett tjänstnamn: svc-HRData Anslut or.
Använd några av följande kriterier för att hitta tjänstkonton. Den här metoden kanske dock inte hittar konton:
- Betrodd för delegering
- Med namn på tjänstens huvudnamn
- Med lösenord som aldrig upphör att gälla
Kör följande PowerShell-kommandon för att hitta de lokala användarkonton som används för tjänster:
Så här hittar du konton som är betrodda för delegering:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Så här hittar du konton med tjänstens huvudnamn:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Så här hittar du konton med lösenord som aldrig upphör att gälla:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Du kan granska åtkomsten till känsliga resurser och arkivera granskningsloggar till ett SIEM-system (säkerhetsinformation och händelsehantering). Genom att använda Azure Log Analytics eller Microsoft Sentinel kan du söka efter och analysera tjänstkonton.
Utvärdera säkerheten för lokala användarkonton
Använd följande kriterier för att utvärdera säkerheten för lokala användarkonton som används som tjänstkonton:
- Princip för lösenordshantering
- Konton med medlemskap i privilegierade grupper
- Läs-/skrivbehörigheter för viktiga resurser
Åtgärda potentiella säkerhetsproblem
Se följande tabell för potentiella säkerhetsproblem för lokala användarkonton och deras åtgärder:
| Säkerhetsproblem | Åtgärd |
|---|---|
| Lösenordshantering | – Se till att lösenordskomplexitet och lösenordsändring styrs av regelbundna uppdateringar och starka lösenordskrav – Samordna lösenordsändringar med en lösenordsuppdatering för att minimera tjänstens stilleståndstid |
| Kontot är medlem i privilegierade grupper | – Granska gruppmedlemskap – Ta bort kontot från privilegierade grupper – Bevilja kontorättigheter och behörigheter för att köra tjänsten (kontakta tjänsteleverantören) – Till exempel neka inloggning lokalt eller interaktiv inloggning |
| Kontot har läs- och skrivbehörighet till känsliga resurser | – Granska åtkomst till känsliga resurser – Arkivera granskningsloggar till en SIEM: Azure Log Analytics eller Microsoft Sentinel – Åtgärda resursbehörigheter om du identifierar oönskade åtkomstnivåer |
Säkra kontotyper
Microsoft rekommenderar inte användning av lokala användarkonton som tjänstkonton. För tjänster som använder den här kontotypen ska du utvärdera om den kan konfigureras för att använda en gMSA eller en sMSA. Utvärdera dessutom om du kan flytta tjänsten till Azure för att aktivera användning av säkrare kontotyper.
Nästa steg
Mer information om hur du skyddar tjänstkonton:
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för