控管內部部署服務帳戶
Active Directory 提供四種類型的內部部署服務帳戶:
- 群組管理的服務帳戶 (gMSA)
- 獨立受控服務帳戶 (sMSA)
- 內部部署電腦帳戶
- 作為服務帳戶的使用者帳戶
服務帳戶治理的一部分包括:
- 根據需求和用途保護它們
- 管理帳戶生命週期及其認證
- 根據風險和許可權評估服務帳戶
- 確保 Active Directory (AD) 和 Microsoft Entra 識別碼沒有未使用的服務帳戶,且具有許可權
新的服務帳戶原則
當您建立服務帳戶時,請考慮下表中的資訊。
| 準則 | 考量事項 |
|---|---|
| 服務帳戶對應 | 將服務帳戶連線至服務、應用程式或腳本 |
| 擁有權 | 確定有帳戶擁有者要求並承擔責任 |
| 範圍 | 定義範圍,並預期使用持續時間 |
| 目的 | 建立一個用途的服務帳戶 |
| 權限 | 套用最低許可權原則: - 不要將許可權指派給內建群組,例如系統管理員 - 移除本機電腦許可權,其中可行 - 量身訂做存取權,並使用 AD 委派進行目錄存取 - 使用細微 存取權限 - 設定帳戶到期和使用者型服務帳戶的位置限制 |
| 監視和稽核使用 | - 監視登入資料,並確保其符合預期的使用量 - 設定異常使用量的警示 |
使用者帳戶限制
針對做為服務帳戶的使用者帳戶,請套用下列設定:
- 帳戶到期 - 除非帳戶可以繼續,否則在檢閱期間之後,將服務帳戶設定為自動到期
- LogonWorkstations - 限制服務帳戶登入許可權
- 如果它在本機執行並存取電腦上的資源,請限制它在其他地方登入
- 無法變更密碼 - 將 參數設定為 true 以防止服務帳戶變更自己的密碼
生命週期管理程式
為了協助維護服務帳戶安全性,請從一開始管理它們到解除委任。 使用下列程式:
- 收集帳戶使用資訊。
- 將服務帳戶和應用程式移至組態管理資料庫 (CMDB)。
- 執行風險評估或正式檢閱。
- 建立服務帳戶並套用限制。
- 排程和執行循環性檢閱。
- 視需要調整許可權和範圍。
- 取消布建帳戶。
收集服務帳戶使用資訊
收集每個服務帳戶的相關資訊。 下表列出要收集的最低資訊。 取得驗證每個帳戶所需的專案。
| 資料 | 描述 |
|---|---|
| 負責人 | 服務帳戶的使用者或群組負責 |
| 目的 | 服務帳戶的目的 |
| 許可權(範圍) | 預期的許可權 |
| CMDB 連結 | 具有目標腳本或應用程式的跨連結服務帳戶,以及擁有者 |
| 風險 | 安全性風險評估的結果 |
| 存留期 | 排程帳戶到期或重新認證的預期最長存留期 |
進行帳戶要求自助式,並要求相關資訊。 擁有者是應用程式或企業擁有者、IT 小組成員或基礎結構擁有者。 您可以使用 Microsoft Forms 來取得要求和相關資訊。 如果帳戶已核准,請使用 Microsoft Forms 將其移植到組態管理資料庫 (CMDB) 清查工具。
服務帳戶和 CMDB
將收集到的資訊儲存在 CMDB 應用程式中。 包含基礎結構、應用程式和程式的相依性。 使用此中央存放庫來:
- 評估風險
- 設定具有限制的服務帳戶
- 確定功能和安全性相依性
- 定期檢閱安全性,並持續需要
- 請連絡擁有者以檢閱、淘汰及變更服務帳戶
範例 HR 案例
例如,服務帳戶會執行具有連線至人力資源 SQL 資料庫之許可權的網站。 服務帳戶 CMDB 中的資訊,包括範例,如下表所示:
| 資料 | 範例 |
|---|---|
| 擁有者、副手 | 名稱、名稱 |
| 目的 | 執行 HR 網頁並聯機到 HR 資料庫。 在存取資料庫時模擬終端使用者。 |
| 許可權、範圍 | HR-WEBServer:在本機登入;執行網頁 HR-SQL1:在本機登入;HR 資料庫的讀取權限 HR-SQL2:在本機登入;僅限薪資資料庫的讀取權限 |
| 成本中心 | 123456 |
| 已評估風險 | 中;業務影響:中;私用資訊;中 |
| 帳戶限制 | 登入:僅限上述伺服器;無法變更密碼;MBI-Password 原則; |
| 存留期 | 不受限制 |
| 檢閱週期 | Biannually:依擁有者、安全性小組或隱私權小組 |
服務帳戶風險評估或正式檢閱
如果您的帳戶遭到未經授權的來源入侵,請評估相關聯應用程式、服務和基礎結構的風險。 請考慮直接和間接風險:
- 未經授權的使用者可取得存取權的資源
- 服務帳戶可以存取的其他資訊或系統
- 帳戶可以授與的許可權
- 許可權變更時的指示或訊號
風險評估之後,檔可能會顯示風險會影響帳戶:
- 限制
- 存留期
- 檢閱需求
- 頻率和檢閱者
建立服務帳戶並套用帳戶限制
注意
在風險評估之後建立服務帳戶,並在 CMDB 中記錄結果。 讓帳戶限制與風險評估結果保持一致。
請考慮下列限制,但有些限制可能與您的評定無關。
- 針對做為服務帳戶的使用者帳戶,請定義實際結束日期
- 使用 [ 帳戶到期] 旗標來設定日期
- 深入瞭解: Set-ADAccountExpiration
- 請參閱 Set-ADUser (Active Directory)
- 密碼原則需求
- 在組織單位位置中建立帳戶,以確保只有一些使用者會管理帳戶
- 請參閱委派 帳戶 OU 和資源 OU 的管理員
- 設定及收集偵測服務帳戶變更的稽核:
- 請參閱稽 核目錄服務變更 和
- 移至 manageengine.com 以瞭解如何稽核 AD 中的 Kerberos 驗證事件
- 在帳戶進入生產環境之前,更安全地授與帳戶存取權
服務帳戶檢閱
排程定期服務帳戶檢閱,特別是那些分類的中高風險。 檢閱可能包括:
- 擁有者證明帳戶的需求,並具有許可權和範圍的理由
- 包含上游和下游相依性的隱私權和安全性小組檢閱
- 稽核資料檢閱
- 確定帳戶用於其陳述目的
取消布建服務帳戶
在下列階段取消布建服務帳戶:
- 停用建立服務帳戶的腳本或應用程式
- 使用服務帳戶的腳本或應用程式函式淘汰
- 取代另一個服務帳戶
若要取消布建:
- 移除許可權和監視。
- 檢查相關服務帳戶的登入和資源存取,以確保不會對其產生任何潛在影響。
- 防止帳戶登入。
- 請確定不再需要帳戶(沒有投訴)。
- 建立商務原則,以判斷帳戶停用的時間量。
- 刪除服務帳戶。
- MSA - 請參閱 Uninstall-ADServiceAccount
- 使用 PowerShell,或從受控服務帳戶容器手動刪除它
- 電腦或使用者帳戶 - 從 Active Directory 手動刪除帳戶
下一步
若要深入瞭解保護服務帳戶,請參閱下列文章: