Şirket içi hizmet hesaplarını yönetme
Active Directory dört tür şirket içi hizmet hesabı sunar:
- Grup tarafından yönetilen hizmet hesapları (gMSA'lar)
- Tek başına yönetilen hizmet hesapları (sMSA'lar)
- Şirket içi bilgisayar hesapları
- Hizmet hesabı olarak işlev eden kullanıcı hesapları
Hizmet hesabı idaresinin bir bölümü şunları içerir:
- Gereksinimleri ve amacı temel alarak bunları koruma
- Hesap yaşam döngüsünü ve kimlik bilgilerini yönetme
- Risk ve izinlere göre hizmet hesaplarını değerlendirme
- Active Directory (AD) ve Microsoft Entra Id'nin kullanılmayan hizmet hesabı olmadığından ve izinlere sahip olmadığından emin olmak
Yeni hizmet hesabı ilkeleri
Hizmet hesapları oluştururken aşağıdaki tabloda yer alan bilgileri göz önünde bulundurun.
| İlke | Dikkat edilmesi gereken noktalar |
|---|---|
| Hizmet hesabı eşlemesi | Hizmet hesabını bir hizmete, uygulamaya veya betike Bağlan |
| Sahiplik | İstekte bulunan ve sorumluluğu üstlenen bir hesap sahibi olduğundan emin olun |
| Kapsam | Kapsamı tanımlama ve kullanım süresini tahmin etme |
| Amaç | Tek bir amaçla hizmet hesapları oluşturma |
| İzinler | En az izin ilkesini uygulayın: - Yöneticiler gibi yerleşik gruplara izin atama - Yerel makine izinlerini kaldırma, burada uygun - Erişimi uyarlama ve dizin erişimi için AD temsilcisi kullanma - Ayrıntılı erişim izinlerini kullanma - Kullanıcı tabanlı hizmet hesaplarında hesap süre sonu ve konum kısıtlamalarını ayarlama |
| Kullanımı izleme ve denetleme | - Oturum açma verilerini izleyin ve hedeflenen kullanımla eşleştiğinden emin olun - Anormal kullanım için uyarılar ayarlayın |
Kullanıcı hesabı kısıtlamaları
Hizmet hesabı olarak kullanılan kullanıcı hesapları için aşağıdaki ayarları uygulayın:
- Hesap süre sonu - Hesap devam etmediği sürece, hizmet hesabının süresi gözden geçirme döneminden sonra otomatik olarak dolacak şekilde ayarlayın
- LogonWorkstations - Hizmet hesabı oturum açma izinlerini kısıtlama
- Yerel olarak çalışıyorsa ve makinedeki kaynaklara erişiyorsa, başka bir yerde oturum açmasını kısıtlayın
- Parola değiştiremiyorum - hizmet hesabının kendi parolasını değiştirmesini önlemek için parametresini true olarak ayarlayın
Yaşam döngüsü yönetimi işlemi
Hizmet hesabı güvenliğini korumaya yardımcı olmak için bunları kullanımdan kaldırmaya kadar yönetin. Aşağıdaki işlemi kullanın:
- Hesap kullanım bilgilerini toplayın.
- Hizmet hesabını ve uygulamayı yapılandırma yönetimi veritabanına (CMDB) taşıyın.
- Risk değerlendirmesi veya resmi bir inceleme gerçekleştirin.
- Hizmet hesabını oluşturun ve kısıtlamaları uygulayın.
- Yinelenen gözden geçirmeleri zamanlayın ve gerçekleştirin.
- İzinleri ve kapsamları gerektiği gibi ayarlayın.
- Hesabın sağlamasını kaldırın.
Hizmet hesabı kullanım bilgilerini toplama
Her hizmet hesabı için ilgili bilgileri toplayın. Aşağıdaki tabloda toplayacağınız en düşük bilgiler listelenir. Her hesabı doğrulamak için gerekenleri alın.
| Veriler | Açıklama |
|---|---|
| Sahip | Hizmet hesabından sorumlu kullanıcı veya grup |
| Amaç | Hizmet hesabının amacı |
| İzinler (kapsamlar) | Beklenen izinler |
| CMDB bağlantıları | Hedef betik veya uygulama ile çapraz bağlantı hizmet hesabı ve sahipler |
| Risk | Güvenlik riski değerlendirmesinin sonuçları |
| Yaşam süresi | Hesap süre sonu veya yeniden onaylama zamanlamak için beklenen maksimum yaşam süresi |
Hesap isteği self servis yapın ve ilgili bilgileri gerekli kılın. Sahip bir uygulama veya işletme sahibi, BT ekip üyesi veya altyapı sahibidir. İstekler ve ilişkili bilgiler için Microsoft Forms'u kullanabilirsiniz. Hesap onaylanırsa Microsoft Forms'u kullanarak bunu bir yapılandırma yönetimi veritabanları (CMDB) envanter aracına taşıma.
Hizmet hesapları ve CMDB
Toplanan bilgileri bir CMDB uygulamasında depolayın. Altyapı, uygulamalar ve süreçlere bağımlılıkları dahil edin. Aşağıdakiler için bu merkezi deposunu kullanın:
- Riski değerlendirme
- Hizmet hesabını kısıtlamalarla yapılandırma
- İşlevsel ve güvenlik bağımlılıklarını onaylama
- Güvenlik ve sürekli ihtiyaç için düzenli incelemeler yapma
- Hizmet hesabını gözden geçirmek, devre dışı bırakması ve değiştirmek için sahibine başvurun
Örnek İk senaryosu
İnsan Kaynakları SQL veritabanlarına bağlanma izinlerine sahip bir web sitesi çalıştıran bir hizmet hesabı buna örnek olarak verilmiştir. Hizmet hesabı CMDB'sindeki örnekler de dahil olmak üzere bilgiler aşağıdaki tabloda verilmiştir:
| Veriler | Örnek |
|---|---|
| Sahip, Yardımcı | Ad, Ad |
| Amaç | İk web sayfasını çalıştırın ve İk veritabanlarına bağlanın. Veritabanlarına erişirken son kullanıcıların kimliğine bürünme. |
| İzinler, kapsamlar | HR-WEBServer: yerel olarak oturum açın; web sayfasını çalıştırma HR-SQL1: yerel olarak oturum açın; İk veritabanlarında okuma izinleri HR-SQL2: yerel olarak oturum açın; yalnızca Maaş veritabanında okuma izinleri |
| Maliyet merkezi | 123456 |
| Risk değerlendirildi | Orta; İş Etkisi: Orta; özel bilgiler; Orta |
| Hesap kısıtlamaları | Oturum açma: yalnızca yukarıda belirtilen sunucular; Parola değiştirilemez; MBI-Parola İlkesi; |
| Yaşam süresi | Sınırsız |
| Döngüyü gözden geçirme | Çift yönlü: Sahip, güvenlik ekibi veya gizlilik ekibine göre |
Hizmet hesabı risk değerlendirmeleri veya resmi incelemeler
Hesabınız yetkisiz bir kaynak tarafından ele geçirildiyse ilişkili uygulamalar, hizmetler ve altyapı risklerini değerlendirin. Doğrudan ve dolaylı riskleri göz önünde bulundurun:
- Yetkisiz bir kullanıcının erişebileceği kaynaklar
- Hizmet hesabının erişebileceği diğer bilgiler veya sistemler
- Hesabın verebileceği izinler
- İzinler değiştiğinde göstergeler veya sinyaller
Risk değerlendirmesi sonrasında belgelerde risklerin hesabı etkilediği büyük olasılıkla gösterilmiştir:
- Kısıtlamalar
- Yaşam süresi
- Gereksinimleri gözden geçirme
- Tempo ve gözden geçirenler
Hizmet hesabı oluşturma ve hesap kısıtlamaları uygulama
Dekont
Risk değerlendirmesi sonrasında bir hizmet hesabı oluşturun ve bulguları bir CMDB'de belgeleyin. Hesap kısıtlamalarını risk değerlendirmesi bulgularıyla uyumlu hale getirme.
Bazıları değerlendirmenizle ilgili olmasa da aşağıdaki kısıtlamaları göz önünde bulundurun.
- Hizmet hesabı olarak kullanılan kullanıcı hesapları için gerçekçi bir bitiş tarihi tanımlayın
- Tarihi ayarlamak için Hesap Süresi Doluyor bayrağını kullanın
- Daha fazla bilgi edinin: Set-ADAccountExpiration
- Bkz. Set-ADUser (Active Directory)
- Parola ilkesi gereksinimleri
- Yalnızca bazı kullanıcıların yönetmesini sağlayan bir kuruluş birimi konumunda hesap oluşturma
- Hizmet hesabı değişikliklerini algılayan denetimi ayarlayın ve toplayın:
- Bkz. Dizin Hizmeti Değişikliklerini Denetleme ve
- AD'de Kerberos kimlik doğrulama olaylarını denetleme için manageengine.com gidin
- Üretime geçmeden önce hesap erişimini daha güvenli bir şekilde verme
Hizmet hesabı gözden geçirmeleri
Özellikle Orta ve Yüksek Riskli olarak sınıflandırılan düzenli hizmet hesabı gözden geçirmeleri zamanlayın. İncelemeler şunları içerebilir:
- İzinlerin ve kapsamların gerekçelendirilmesiyle hesap gereksiniminin sahip kanıtlaması
- Yukarı ve aşağı akış bağımlılıklarını içeren gizlilik ve güvenlik ekibi incelemeleri
- Denetim verileri gözden geçirme
- Hesabın belirtilen amaç için kullanıldığından emin olun
Hizmet hesaplarının sağlamasını kaldırma
Hizmet hesaplarının sağlamasını aşağıdaki haziranlarda kaldırın:
- Hizmet hesabının oluşturulduğu betiğin veya uygulamanın kullanımdan kaldırılması
- Hizmet hesabının kullanıldığı betik veya uygulama işlevinin kullanımdan kaldırılması
- Hizmet hesabının başka bir hesap için değiştirilmesi
Sağlamayı kaldırma:
- İzinleri ve izlemeyi kaldırın.
- Bunlar üzerinde olası bir etki olmadığından emin olmak için ilgili hizmet hesaplarının oturum açmalarını ve kaynak erişimini inceleyin.
- Hesap oturum açmasını engelle.
- Hesaba artık ihtiyaç duyulmadığından emin olun (şikayet yok).
- Hesapların devre dışı bırakacağı süreyi belirleyen bir iş ilkesi oluşturun.
- Hizmet hesabını silin.
- MSAs - bkz. Uninstall-ADServiceAccount
- PowerShell'i kullanma veya yönetilen hizmet hesabı kapsayıcısından el ile silme
- Bilgisayar veya kullanıcı hesapları - Hesabı Active Directory'den el ile silme
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:
- Şirket içi hizmet hesaplarının güvenliğini sağlama
- Grup tarafından yönetilen hizmet hesaplarının güvenliğini sağlama
- Tek başına yönetilen hizmet hesaplarının güvenliğini sağlama
- AD ile şirket içi bilgisayar hesaplarının güvenliğini sağlama
- AD'de kullanıcı tabanlı hizmet hesaplarının güvenliğini sağlama