Active Directory ile şirket içi bilgisayar hesaplarının güvenliğini sağlama
Bir bilgisayar hesabı veya LocalSystem hesabı, yerel bilgisayardaki neredeyse tüm kaynaklara erişimi olan yüksek ayrıcalıklıdır. Hesap, oturum açmış kullanıcı hesaplarıyla ilişkili değil. Hizmetler, uzak sunuculara bilgisayar kimlik bilgilerini biçiminde <domain_name>\\<computer_name>$sunarak LocalSystem erişim ağ kaynakları olarak çalışır. Önceden tanımlanmış bilgisayar hesabı adıdır NT AUTHORITY\SYSTEM. Bir hizmeti başlatabilir ve bu hizmet için güvenlik bağlamı sağlayabilirsiniz.
Bilgisayar hesabı kullanmanın avantajları
Bir bilgisayar hesabının aşağıdaki avantajları vardır:
- Kısıtlanmamış yerel erişim - bilgisayar hesabı makinenin yerel kaynaklarına tam erişim sağlar
- Otomatik parola yönetimi - El ile değiştirilen parola gereksinimini ortadan kaldırır. Hesap Active Directory'nin bir üyesidir ve parolası otomatik olarak değiştirilir. Bir bilgisayar hesabıyla hizmet asıl adını kaydetmeniz gerekmez.
- Makine dışında sınırlı erişim hakları - Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) varsayılan erişim denetimi listesi, bilgisayar hesaplarına en az erişime izin verir. Yetkisiz bir kullanıcının erişimi sırasında hizmetin ağ kaynaklarına erişimi sınırlıdır.
Bilgisayar hesabı güvenlik duruşu değerlendirmesi
Olası bilgisayar hesabı sorunlarını ve risk azaltmalarını gözden geçirmek için aşağıdaki tabloyu kullanın.
| Bilgisayar hesabı sorunu | Risk azaltma |
|---|---|
| Bilgisayar etki alanını terk edip yeniden katıldığında bilgisayar hesapları silinip yeniden oluşturulur. | Active Directory grubuna bilgisayar ekleme gereksinimini onaylayın. Gruba eklenen bilgisayar hesaplarını doğrulamak için aşağıdaki bölümdeki betikleri kullanın. |
| Gruba bir bilgisayar hesabı eklerseniz, bu bilgisayarda LocalSystem olarak çalışan hizmetler grup erişim haklarını alır. | Bilgisayar hesabı grubu üyelikleri hakkında seçici olun. Bilgisayar hesabını bir etki alanı yönetici grubunun üyesi yapmayın. İlişkili hizmetin AD DS'ye tam erişimi vardır. |
| LocalSystem için yanlış ağ varsayılanları. | Bilgisayar hesabının ağ kaynaklarına varsayılan sınırlı erişimi olduğunu varsaymayın. Bunun yerine, hesap için grup üyeliklerini onaylayın. |
| LocalSystem olarak çalışan bilinmeyen hizmetler. | LocalSystem hesabı altında çalışan hizmetlerin Microsoft hizmetleri veya güvenilen hizmetler olduğundan emin olun. |
Hizmetleri ve bilgisayar hesaplarını bulma
Bilgisayar hesabı altında çalışan hizmetleri bulmak için aşağıdaki PowerShell cmdlet'ini kullanın:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Belirli bir grubun üyesi olan bilgisayar hesaplarını bulmak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Kimlik yöneticileri gruplarının (etki alanı yöneticileri, kuruluş yöneticileri ve yöneticiler) üyesi olan bilgisayar hesaplarını bulmak için aşağıdaki PowerShell cmdlet'ini çalıştırın:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Bilgisayar hesabı önerileri
Önemli
Bilgisayar hesapları yüksek ayrıcalıklıdır, bu nedenle hizmetiniz makinedeki yerel kaynaklara sınırsız erişim gerektiriyorsa ve yönetilen hizmet hesabı (MSA) kullanamıyorsanız bunları kullanın.
- Hizmet sahibinin hizmetinin bir MSA ile çalıştığını onaylayın
- Hizmetiniz destekliyorsa grup tarafından yönetilen hizmet hesabı (gMSA) veya tek başına yönetilen hizmet hesabı (sMSA) kullanın
- Hizmeti çalıştırmak için gereken izinlere sahip bir etki alanı kullanıcı hesabı kullanma
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: