Şirket içi hizmet hesaplarının güvenliğini sağlama
Bir hizmet, yerel ve ağ kaynakları için erişim haklarını belirleyen birincil bir güvenlik kimliğine sahiptir. Microsoft Win32 hizmetinin güvenlik bağlamı, hizmeti başlatmak için kullanılan hizmet hesabı tarafından belirlenir. Aşağıdakiler için bir hizmet hesabı kullanırsınız:
- Bir hizmeti tanımlama ve kimlik doğrulaması.
- Bir hizmeti başarıyla başlatın.
- Koda veya uygulamaya erişme veya yürütme.
- Bir işlem başlatın.
Şirket içi hizmet hesabı türleri
Kullanım örneğine bağlı olarak, bir hizmeti çalıştırmak için yönetilen hizmet hesabı (MSA), bilgisayar hesabı veya kullanıcı hesabı kullanabilirsiniz. Yönetilen hizmet hesabı kullanabildiğini onaylamak için önce bir hizmeti test etmeniz gerekir. Hizmet bir MSA kullanabiliyorsa, bir MSA kullanmalısınız.
Grup yönetilen hizmet hesapları
Şirket içi ortamınızda çalışan hizmetler için mümkün olduğunca grup tarafından yönetilen hizmet hesaplarını (gMSA) kullanın. gMSA'lar, bir sunucu grubunda veya bir ağ yük dengeleyicinin arkasında çalışan hizmetler için tek bir kimlik çözümü sağlar. gMSA'lar tek bir sunucuda çalışan hizmetler için de kullanılabilir. gMSA'ların gereksinimleri hakkında bilgi için bkz . Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.
Tek başına yönetilen hizmet hesapları
gMSA kullanamıyorsanız tek başına yönetilen hizmet hesabı (sMSA) kullanın. sMSA'lar için en az Windows Server 2008 R2 gerekir. gMSA'lardan farklı olarak, sMSA'lar yalnızca bir sunucuda çalışır. Bunlar, bu sunucudaki birden çok hizmet için kullanılabilir.
Bilgisayar hesapları
MSA kullanamıyorsanız bilgisayar hesabı kullanmayı göz önünde bulundurun. LocalSystem hesabı, yerel bilgisayarda kapsamlı izinlere sahip olan ve ağda bilgisayar kimliği olarak görev yapan önceden tanımlanmış bir yerel hesaptır.
LocalSystem hesabı olarak çalışan hizmetler, bilgisayar hesabının kimlik bilgilerini domain_name\<computer_name>> biçiminde <kullanarak ağ kaynaklarına erişmektedir. Önceden tanımlanmış adı NT AUTHORITY\SYSTEM'dir. Bu hizmeti kullanarak bir hizmet başlatabilir ve bu hizmet için bir güvenlik bağlamı sağlayabilirsiniz.
Not
Bir bilgisayar hesabı kullandığınızda, bilgisayardaki hangi hizmetin bu hesabı kullandığını belirleyemezsiniz. Sonuç olarak, hangi hizmetin değişiklik yaptığını denetleyemezsiniz.
Kullanıcı hesapları
MSA kullanamıyorsanız bir kullanıcı hesabı kullanmayı göz önünde bulundurun. Kullanıcı hesabı, etki alanı kullanıcı hesabı veya yerel kullanıcı hesabı olabilir.
Etki alanı kullanıcı hesabı, hizmetin Windows ve Microsoft Active Directory Etki Alanı Hizmetleri'nin hizmet güvenliği özelliklerinden tam olarak yararlanmasını sağlar. Hizmetin hesaba yerel ve ağ izinleri verilir. Ayrıca hesabın üyesi olduğu grupların izinlerine de sahip olur. Etki alanı hizmet hesapları Kerberos karşılıklı kimlik doğrulamayı destekler.
Yerel kullanıcı hesabı (ad biçimi: .\UserName), yalnızca ana bilgisayarın Güvenlik Hesabı Yöneticisi veritabanında bulunur. Active Directory Etki Alanı Hizmetleri'nde kullanıcı nesnesi yoktur. Yerel hesabın kimliği etki alanı tarafından doğrulanamaz. Bu nedenle, yerel kullanıcı hesabının güvenlik bağlamında çalışan bir hizmetin ağ kaynaklarına erişimi yoktur (anonim kullanıcı hariç). Yerel kullanıcı bağlamında çalışan hizmetler, hizmetin istemcileri tarafından kimliğinin doğrulandığı Kerberos karşılıklı kimlik doğrulamasını destekleyemez. Bu nedenlerden dolayı, yerel kullanıcı hesapları genellikle dizin etkinleştirilmiş hizmetler için uygun değildir.
Önemli
Ayrıcalıklı grup üyeliği güvenlik riski oluşturabilecek izinleri sağladığından, hizmet hesaplarının ayrıcalıklı grupların üyesi olmaması gerekir. Denetim ve güvenlik amacıyla her hizmetin kendi hizmet hesabı olmalıdır.
Doğru hizmet hesabı türünü seçin
Ölçüt | gMSA | sMSA | Bilgisayar hesabı | Kullanıcı hesabı |
---|---|---|---|---|
Uygulama tek bir sunucuda çalışır | Yes | Evet. Mümkünse gMSA kullanın. | Evet. Mümkünse MSA kullanın. | Evet. Mümkünse MSA kullanın. |
Uygulama birden çok sunucuda çalışır | Yes | Hayır | Hayır Hesap sunucuya bağlıdır. | Evet. Mümkünse MSA kullanın. |
Uygulama bir yük dengeleyicinin arkasında çalışır | Yes | Hayır | Hayır | Evet. Yalnızca gMSA kullanamıyorsanız kullanın. |
Uygulama Windows Server 2008 R2 üzerinde çalışır | Hayır | Evet | Evet. Mümkünse MSA kullanın. | Evet. Mümkünse MSA kullanın. |
Uygulama Windows Server 2012'de çalışır | Yes | Evet. Mümkünse gMSA kullanın. | Evet. Mümkünse MSA kullanın. | Evet. Mümkünse MSA kullanın. |
Hizmet hesabını tek sunucuyla kısıtlama gereksinimi | Hayır | Evet | Evet. Mümkünse sMSA kullanın. | Hayır |
Araştırmak için sunucu günlüklerini ve PowerShell'i kullanma
Bir uygulamanın hangi sunucularda ve kaç sunucuda çalıştığını belirlemek için sunucu günlüklerini kullanabilirsiniz.
Ağınızdaki tüm sunucuların Windows Server sürümünün listesini almak için aşağıdaki PowerShell komutunu çalıştırabilirsiniz:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
Şirket içi hizmet hesaplarını bulma
Hizmet hesabı olarak kullandığınız tüm hesaplara "svc-" gibi bir ön ek eklemenizi öneririz. Bu adlandırma kuralı, hesapların bulunmasını ve yönetilmesini kolaylaştırır. Ayrıca hizmet hesabı ve hizmet hesabının sahibi için bir açıklama özniteliği kullanmayı da göz önünde bulundurun. Açıklama bir ekip diğer adı veya güvenlik ekibi sahibi olabilir.
Şirket içi hizmet hesaplarını bulmak, güvenliklerinin sağlanmasında önemlidir. MSA olmayan hesaplar için bunu yapmak zor olabilir. Önemli şirket içi kaynaklarınıza erişimi olan tüm hesapları gözden geçirmenizi ve hangi bilgisayar veya kullanıcı hesaplarının hizmet hesabı olarak davranabileceğini belirlemenizi öneririz.
Hizmet hesabı bulmayı öğrenmek için "Sonraki adımlar" bölümündeki bu hesap türüyle ilgili makaleye bakın.
Belge hizmeti hesapları
Hizmet hesaplarını şirket içi ortamınızda bulduklarından sonra aşağıdaki bilgileri belgeleyin:
Sahip: Hesabın bakımının sorumluluğunda olan kişi.
Amaç: Hesabın temsil ettiği uygulama veya başka bir amaç.
İzin kapsamları: Sahip olduğu veya sahip olması gereken izinler ve üyesi olduğu tüm gruplar.
Risk profili: Bu hesabın gizliliği ihlal edilirse işletmeniz için risk. Risk yüksekse MSA kullanın.
Beklenen yaşam süresi ve düzenli kanıtlama: Bu hesabın ne kadar süreyle canlı olacağını tahmin ettiğiniz ve sahibin devam eden gereksinimini ne sıklıkta gözden geçirmesi ve kanıtlaması gerektiği.
Parola güvenliği: Parolanın depolandığı kullanıcı ve yerel bilgisayar hesapları için. Parolaların güvenli tutulduğundan emin olun ve kimlerin erişimi olduğunu belgeleyin. Yerel bilgisayar hesaplarında hesapların güvenliğini sağlamak için Windows LAPS kullanmayı göz önünde bulundurun.
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: