保護 Active Directory 中以使用者為基礎的服務帳戶
內部部署使用者帳戶是協助保護在 Windows 上執行之服務的傳統方法。 目前,如果您的服務不支援群組受管理的服務帳戶(gMSA)和獨立受管理的服務帳戶(sMSA),請使用這些帳戶。 如需要使用的帳戶類型資訊,請參閱 保護內部部署服務帳戶 。
您可以調查將服務移至 Azure 服務帳戶,例如受控識別或服務主體。
深入了解:
您可以建立內部部署使用者帳戶,為帳戶用來存取本機和網路資源的服務與許可權提供安全性。 內部部署使用者帳戶需要手動密碼管理,例如其他 Active Directory (AD) 使用者帳戶。 服務與網域系統管理員必須維護強式密碼管理程式,以協助保護帳戶的安全。
當您建立使用者帳戶作為服務帳戶時,請將其用於一項服務。 使用命名慣例來厘清它是服務帳戶,以及它相關的服務。
優勢與挑戰
內部部署使用者帳戶是多用途的帳戶類型。 做為服務帳戶的使用者帳戶是由控管用戶帳戶的原則所控制。 如果您無法使用 MSA,請使用它們。 評估電腦帳戶是否為較佳的選項。
下表摘要說明內部部署使用者帳戶的挑戰:
| 挑戰 | 風險降低 |
|---|---|
| 密碼管理是手動的,導致安全性和服務停機時間較弱 | - 確保一般密碼複雜度,且變更是由維護強式密碼 的程式所控管 - 使用服務密碼協調密碼變更,這有助於減少服務停機時間 |
| 識別服務帳戶的內部部署使用者帳戶可能會很困難 | - 記錄您環境中 部署的服務帳戶 - 追蹤帳戶名稱及其可存取 的資源 - 請考慮將前置詞 svc 新增至做為服務帳戶的使用者帳戶 |
尋找作為服務帳戶的內部部署使用者帳戶
內部部署使用者帳戶與其他 AD 使用者帳戶一樣。 因為沒有使用者帳戶屬性將其識別為服務帳戶,所以很難找到帳戶。 建議您為使用者帳戶建立命名慣例,以做為服務帳戶。 例如,將前置詞 svc 新增至服務名稱:svc-HRData連線or。
使用下列其中一些準則來尋找服務帳戶。 不過,此方法可能找不到帳戶:
- 委派信任
- 使用服務主體名稱
- 使用永不過期的密碼
若要尋找用於服務的內部部署使用者帳戶,請執行下列 PowerShell 命令:
若要尋找信任委派的帳戶:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
若要尋找具有服務主體名稱的帳戶:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
若要尋找密碼永不過期的帳戶:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
您可以將敏感性資源的存取權稽核,以及將稽核記錄封存到安全性資訊和事件管理 (SIEM) 系統。 藉由使用 Azure Log Analytics 或 Microsoft Sentinel,您可以搜尋和分析服務帳戶。
評估內部部署使用者帳戶安全性
使用下列準則來評估作為服務帳戶的內部部署使用者帳戶安全性:
- 密碼管理原則
- 具有特殊許可權群組成員資格的帳戶
- 重要資源的讀取/寫入權限
降低潛在的安全性問題
如需潛在的內部部署使用者帳戶安全性問題及其風險降低,請參閱下表:
| 安全性問題 | 風險降低 |
|---|---|
| 密碼管理 | - 確保密碼複雜度和密碼變更受到定期更新和強式密碼需求的 控管 - 使用密碼更新協調密碼變更,以將服務停機時間降到最低 |
| 帳戶是特殊許可權群組的成員 | - 檢閱群組成員資格 - 從特殊許可權群組 移除帳戶 - 授與帳戶許可權以執行其服務 (諮詢服務提供者) - 例如,拒絕在本機登入或互動式登入 |
| 帳戶具有敏感性資源的讀取/寫入權限 | - 稽核敏感性資源的 存取 - 將稽核記錄封存至 SIEM:Azure Log Analytics 或 Microsoft Sentinel - 如果您偵測到不想要的存取層級,請補救資源許可權 |
保護帳戶類型
Microsoft 不建議使用內部部署使用者帳戶作為服務帳戶。 針對使用此帳戶類型的服務,評估是否可以設定為使用 gMSA 或 sMSA。 此外,評估您是否可以將服務移至 Azure,以啟用更安全的帳戶類型。
下一步
若要深入瞭解保護服務帳戶: