管理內部部署服務帳戶
Active Directory 提供了四種類型的內部部署服務帳戶:
- 群組受管理的服務帳戶 (gMSA)
- 獨立受管理的服務帳戶 (sMSA)
- 內部部署電腦帳戶
- 作為服務帳戶運作的使用者帳戶
服務帳戶治理的一部分包括:
- 根據需求和用途加以保護
- 管理帳戶生命週期及其認證
- 根據風險和權限評定服務帳戶
- 確保 Active Directory (AD) 和 Microsoft Entra ID 沒有未使用且具有權限的服務帳戶
新服務帳戶原則
當您建立服務帳戶時,請考慮下表中的資訊。
| 準則 | 考量 |
|---|---|
| 服務帳戶對應 | 將服務帳戶連線至服務、應用程式或指令碼 |
| 擁有權 | 確定有能夠要求並承擔責任的帳戶擁有者 |
| 範圍 | 定義範圍,並預期使用持續時間 |
| 目的 | 建立單一用途的服務帳戶 |
| 權限 | 套用最低權限原則: - 不要將權限指派給內建群組,例如系統管理員 - 在可行的情況下移除本機電腦權限 - 量身訂做存取權,並使用 AD 委派進行目錄存取 - 使用細微存取權限 - 針對使用者型服務帳戶設定帳戶到期日和位置限制 |
| 監視與稽核使用方式 | - 監視登入資料,並確保其符合預期的使用方式 - 針對異常使用方式設定警示 |
使用者帳戶限制
針對作為服務帳戶的使用者帳戶,套用下列設定:
- 帳戶到期日 - 除非服務帳戶可以繼續,否則將該帳戶設定為在其檢閱期間後自動到期
- LogonWorkstations - 限制服務帳戶登入權限
- 如果其會在本機執行並存取電腦上的資源,請限制其在其他地方登入的能力
- 禁止變更密碼 - 將此參數設為 true,防止服務帳戶變更自身的密碼
生命週期管理流程
為了協助維護服務帳戶安全性,請從一開始便加以管理,直到解除委任為止。 使用下列流程:
- 收集帳戶使用資訊。
- 將服務帳戶和應用程式移至組態管理資料庫 (CMDB)。
- 執行風險評估或正式審核。
- 建立服務帳戶並套用限制。
- 排程和執行例行審查。
- 視需要調整權限及範圍。
- 將帳戶取消佈建。
收集服務帳戶使用資訊
收集每一個服務帳戶的相關資訊。 下表列出至少要收集的資訊。 取得驗證每個帳戶所需的項目。
| 資料 | 描述 |
|---|---|
| 擁有者 | 為服務帳戶負責的使用者或群組 |
| 目的 | 服務帳戶的用途 |
| 權限 (範圍) | 預期的權限 |
| CMDB 連結 | 擁有目標指令碼或應用程式及擁有者的交叉連結服務帳戶 |
| 風險 | 安全性風險評定的結果 |
| 存留期 | 排程帳戶到期日或重新認證的預期最長存留期 |
使帳戶要求變成自助式,並要求相關資訊。 擁有者可以是應用程式或企業負責人、IT 小組成員,或基礎結構擁有者。 您可以使用 Microsoft Forms 來取得要求和相關資訊。 如果已核准帳戶,請使用 Microsoft Forms 將其移植到組態管理資料庫 (CMDB) 清查工具。
服務帳戶和 CMDB
將所收集到的資訊儲存在 CMDB 應用程式中。 包括基礎結構、應用程式和處理序的相依性。 使用此中央存放庫來:
- 評定風險
- 設定具有限制的服務帳戶
- 確定功能和安全性相依性
- 對安全性和持續性需求進行定期審查
- 連絡擁有者以檢閱、淘汰及變更服務帳戶
範例 HR 案例
例如,有一個服務帳戶會執行具有連線至人力資源 SQL 資料庫之權限的網站。 下表列出該服務帳戶 CMDB 中的資訊 (包括範例):
| 資料 | 範例 |
|---|---|
| 擁有者、Deputy | 名稱、名稱 |
| 目的 | 執行 HR 網頁並連線至 HR 資料庫。 在存取資料庫時模擬終端使用者。 |
| 權限、範圍 | HR-WEBServer:在本機登入;執行網頁 HR-SQL1:在本機登入;具備所有 HR 資料庫的讀取權限 HR-SQL2:在本機登入;僅具備薪資資料庫的讀取權限 |
| 成本中心 | 123456 |
| 已評定風險 | 中度;商務影響:中度;私人資訊:中度 |
| 帳戶限制 | 登入目標:僅限先前提及的伺服器;不可以變更密碼;MBI-Password 原則; |
| 存留期 | 不受限制 |
| 審查週期 | 每隔半年:依擁有者、安全性小組或隱私權小組 |
服務帳戶風險評量或正式審查
如果您的帳戶遭到未經授權的來源入侵,請評定相關聯應用程式、服務和基礎結構的風險。 請同時考量直接和間接的風險:
- 未經授權的使用者可取得存取權的資源
- 服務帳戶可以存取的其他資訊或系統
- 帳戶可以授與的權限
- 權限變更時的指示或訊號
風險評定之後,文件可能會顯示風險會影響帳戶:
- 限制
- 存留期
- 檢閱需求
- 頻率和檢閱者
建立服務帳戶並套用帳戶限制
注意
在風險評定之後建立服務帳戶,並在 CMDB 中記錄結果。 使帳戶限制與風險評定結果保持一致。
請考慮下列限制,但有些限制可能與您的評定無關。
- 針對作為服務帳戶的使用者帳戶,請定義實際的結束日期
- 使用帳戶到期旗標來設定日期
- 深入了解:Set-ADAccountExpiration (英文)
- 請參閱 Set-ADUser (Active Directory) (英文)
- 密碼原則需求
- 請參閱 Microsoft Entra Domain Services 受控網域上的密碼和帳戶鎖定原則 (部分機器翻譯)
- 在能確保只有某些使用者能加以管理的組織單位位置中建立帳戶
- 設定及收集偵測服務帳戶變更的稽核:
- 請參閱稽核目錄服務變更 (英文),以及
- 移至 manageengine.com 以參閱如何在 AD 中稽核 Kerberos 驗證事件 (英文)
- 在帳戶進入實際執行環境之前,以更安全的方式授與帳戶存取權
服務帳戶審查
排程定期服務帳戶審查,特別是針對被分類為中度風險和高風險的帳戶。 審查可能包括:
- 擁有者對帳戶之需求的證明,並說明權限和範圍的正當性
- 包括上游和下游相依性的隱私權和安全性小組審查
- 稽核資料審查
- 確定帳戶是用於其所陳述的目的
取消佈建服務帳戶
在下列階段將服務帳戶取消佈建:
- 在建立服務帳戶的指令碼或應用程式淘汰的時候
- 在使用服務帳戶的指令碼或應用程式函式淘汰的時候
- 在服務帳戶已由另一個服務帳戶取代的時候
取消佈建:
- 移除權限和監視。
- 檢查相關服務帳戶的登入和資源存取權,以確保不會對其產生任何潛在影響。
- 防止帳戶登入。
- 確定已不再需要該帳戶 (沒有任何投訴)。
- 建立商務原則以判斷停用帳戶的時間長度。
- 刪除服務帳戶。
- MSA - 請參閱 Uninstall-ADServiceAccount (英文)
- 使用 PowerShell,或從受管理的服務帳戶容器中手動加以刪除
- 電腦或使用者帳戶 - 從 Active Directory 手動刪除該帳戶
下一步
若要深入了解如何保護服務帳戶,請參閱下列文章:
- 保護內部部署服務帳戶 (部分機器翻譯)
- 保護群組受管理的服務帳戶
- 保護獨立受管理的服務帳戶
- 使用 AD 保護內部部署電腦帳戶 (部分機器翻譯)
- 保護 AD 中的使用者型服務帳戶