Active Directory'de kullanıcı tabanlı hizmet hesaplarının güvenliğini sağlama
Şirket içi kullanıcı hesapları, Windows üzerinde çalışan hizmetlerin güvenliğini sağlamaya yardımcı olan geleneksel yaklaşımdı. Bugün, grup tarafından yönetilen hizmet hesapları (gMSA) ve tek başına yönetilen hizmet hesapları (sMSA) hizmetiniz tarafından desteklenmiyorsa bu hesapları kullanın. Kullanılacak hesap türü hakkında bilgi için bkz . Şirket içi hizmet hesaplarının güvenliğini sağlama.
Hizmetinizin yönetilen kimlik veya hizmet sorumlusu gibi bir Azure hizmet hesabını taşımayı araştırabilirsiniz.
Daha fazla bilgi edinin:
- Azure kaynakları için yönetilen kimlikler nelerdir?
- Microsoft Entra Id'de hizmet sorumlularının güvenliğini sağlama
Hesapların yerel ve ağ kaynaklarına erişmek için kullandığı hizmetler ve izinler için güvenlik sağlamak üzere şirket içi kullanıcı hesapları oluşturabilirsiniz. Şirket içi kullanıcı hesapları, diğer Active Directory (AD) kullanıcı hesapları gibi el ile parola yönetimi gerektirir. Hizmet ve etki alanı yöneticileri, hesapların güvenliğini sağlamaya yardımcı olmak için güçlü parola yönetimi işlemlerini sürdürmek için gereklidir.
Hizmet hesabı olarak bir kullanıcı hesabı oluşturduğunuzda, bunu tek bir hizmet için kullanın. Bunun bir hizmet hesabı olduğunu ve ilgili olduğu hizmeti belirten bir adlandırma kuralı kullanın.
Avantajlar ve zorluklar
Şirket içi kullanıcı hesapları çok yönlü bir hesap türüdür. Hizmet hesabı olarak kullanılan kullanıcı hesapları, kullanıcı hesaplarını yöneten ilkeler tarafından denetleniyor. MSA kullanamıyorsanız bunları kullanın. Bilgisayar hesabının daha iyi bir seçenek olup olmadığını değerlendirin.
Şirket içi kullanıcı hesaplarının zorlukları aşağıdaki tabloda özetlenir:
Sınama | Risk azaltma |
---|---|
Parola yönetimi el ile yapılır ve daha zayıf güvenlik ve hizmet kapalı kalma süresine yol açar | - Düzenli parola karmaşıklığını ve değişikliklerin güçlü parolaları koruyan bir işlem tarafından yönetildiğinden emin olun - Parola değişikliklerini bir hizmet parolası ile koordine edin, bu da hizmet kapalı kalma süresini azaltmaya yardımcı olur |
Hizmet hesabı olan şirket içi kullanıcı hesaplarını belirlemek zor olabilir | - Ortamınızda dağıtılan hizmet hesaplarını belgeleyin - Hesap adını ve erişebilecekleri kaynakları izleme - Hizmet hesabı olarak kullanılan kullanıcı hesaplarına svc ön ekini eklemeyi göz önünde bulundurun |
Hizmet hesabı olarak kullanılan şirket içi kullanıcı hesaplarını bulma
Şirket içi kullanıcı hesapları, diğer AD kullanıcı hesapları gibidir. Hiçbir kullanıcı hesabı özniteliği bunu bir hizmet hesabı olarak tanımlamadığı için hesapları bulmak zor olabilir. Kullanıcı hesaplarının hizmet hesabı olarak kullandığı bir adlandırma kuralı oluşturmanızı öneririz. Örneğin, svc ön ekini bir hizmet adına ekleyin: svc-HRData Bağlan or.
Hizmet hesaplarını bulmak için aşağıdaki ölçütlerden bazılarını kullanın. Ancak, bu yaklaşım hesapları bulamayabilir:
- Temsilci seçme için güvenilir
- Hizmet sorumlusu adlarıyla
- Süresi hiç dolmamış parolalarla
Hizmetler için kullanılan şirket içi kullanıcı hesaplarını bulmak için aşağıdaki PowerShell komutlarını çalıştırın:
Temsilci seçme için güvenilen hesapları bulmak için:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Hizmet sorumlusu adlarına sahip hesapları bulmak için:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Süresi hiç dolmamış parolalara sahip hesapları bulmak için:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Hassas kaynaklara erişimi denetleyebilir ve denetim günlüklerini bir güvenlik bilgileri ve olay yönetimi (SIEM) sisteminde arşivleyebilirsiniz. Azure Log Analytics veya Microsoft Sentinel kullanarak hizmet hesaplarını arayabilir ve analiz edebilirsiniz.
Şirket içi kullanıcı hesabı güvenliğini değerlendirme
Hizmet hesabı olarak kullanılan şirket içi kullanıcı hesaplarının güvenliğini değerlendirmek için aşağıdaki ölçütleri kullanın:
- Parola yönetimi ilkesi
- Ayrıcalıklı gruplarda üyeliği olan hesaplar
- Önemli kaynaklar için okuma/yazma izinleri
Olası güvenlik sorunlarını azaltma
Olası şirket içi kullanıcı hesabı güvenlik sorunları ve bunların risk azaltmaları için aşağıdaki tabloya bakın:
Güvenlik sorunu | Risk azaltma |
---|---|
Parola yönetimi | - Parola karmaşıklığının ve parola değişikliğinin düzenli güncelleştirmelere ve güçlü parola gereksinimlerine tabi olduğundan emin olun - Hizmet kapalı kalma süresini en aza indirmek için parola değişikliklerini parola güncelleştirmesi ile koordine edin |
Hesap ayrıcalıklı grupların bir üyesidir | - Grup üyeliğini gözden geçirme - Hesabı ayrıcalıklı gruplardan kaldırma - Hesabın hizmetini çalıştırması için haklar ve izinler verme (hizmet satıcısına danışın) - Örneğin, yerel veya etkileşimli oturum açmayı reddetme |
Hesabın hassas kaynaklar için okuma/yazma izinleri var | - Hassas kaynaklara erişimi denetleme - Denetim günlüklerini SIEM'ye arşivleme: Azure Log Analytics veya Microsoft Sentinel - istenmeyen erişim düzeyleri algılarsanız kaynak izinlerini düzeltme |
Güvenli hesap türleri
Microsoft, şirket içi kullanıcı hesaplarının hizmet hesabı olarak kullanılmasını önermez. Bu hesap türünü kullanan hizmetler için, gMSA veya sMSA kullanacak şekilde yapılandırılıp yapılandırılamadığını değerlendirin. Ayrıca, daha güvenli hesap türlerinin kullanımını etkinleştirmek için hizmeti Azure'a taşıyıp taşıyabileceğinizi değerlendirin.
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için: