共用方式為


管理內部部署服務帳戶

Active Directory 提供了四種類型的內部部署服務帳戶:

服務帳戶治理的一部分包括:

  • 根據需求和用途加以保護
  • 管理帳戶生命週期及其認證
  • 根據風險和權限評定服務帳戶
  • 確保 Active Directory (AD) 和 Microsoft Entra ID 沒有未使用且具有權限的服務帳戶

新服務帳戶原則

當您建立服務帳戶時,請考慮下表中的資訊。

準則 考量
服務帳戶對應 將服務帳戶連線至服務、應用程式或指令碼
擁有權 確定有能夠要求並承擔責任的帳戶擁有者
範圍 定義範圍,並預期使用持續時間
目的 建立單一用途的服務帳戶
權限 套用最低權限原則:
- 不要將權限指派給內建群組,例如系統管理員
- 在可行的情況下移除本機電腦權限
- 量身訂做存取權,並使用 AD 委派進行目錄存取
- 使用細微存取權限
- 針對使用者型服務帳戶設定帳戶到期日和位置限制
監視與稽核使用方式 - 監視登入資料,並確保其符合預期的使用方式
- 針對異常使用方式設定警示

使用者帳戶限制

針對作為服務帳戶的使用者帳戶,套用下列設定:

  • 帳戶到期日 - 除非服務帳戶可以繼續,否則將該帳戶設定為在其檢閱期間後自動到期
  • LogonWorkstations - 限制服務帳戶登入權限
    • 如果其會在本機執行並存取電腦上的資源,請限制其在其他地方登入的能力
  • 禁止變更密碼 - 將此參數設為 true,防止服務帳戶變更自身的密碼

生命週期管理流程

為了協助維護服務帳戶安全性,請從一開始便加以管理,直到解除委任為止。 使用下列流程:

  1. 收集帳戶使用資訊。
  2. 將服務帳戶和應用程式移至組態管理資料庫 (CMDB)。
  3. 執行風險評估或正式審核。
  4. 建立服務帳戶並套用限制。
  5. 排程和執行例行審查。
  6. 視需要調整權限及範圍。
  7. 將帳戶取消佈建。

收集服務帳戶使用資訊

收集每一個服務帳戶的相關資訊。 下表列出至少要收集的資訊。 取得驗證每個帳戶所需的項目。

資料 描述
擁有者 為服務帳戶負責的使用者或群組
目的 服務帳戶的用途
權限 (範圍) 預期的權限
CMDB 連結 擁有目標指令碼或應用程式及擁有者的交叉連結服務帳戶
風險 安全性風險評定的結果
存留期 排程帳戶到期日或重新認證的預期最長存留期

使帳戶要求變成自助式,並要求相關資訊。 擁有者可以是應用程式或企業負責人、IT 小組成員,或基礎結構擁有者。 您可以使用 Microsoft Forms 來取得要求和相關資訊。 如果已核准帳戶,請使用 Microsoft Forms 將其移植到組態管理資料庫 (CMDB) 清查工具。

服務帳戶和 CMDB

將所收集到的資訊儲存在 CMDB 應用程式中。 包括基礎結構、應用程式和處理序的相依性。 使用此中央存放庫來:

  • 評定風險
  • 設定具有限制的服務帳戶
  • 確定功能和安全性相依性
  • 對安全性和持續性需求進行定期審查
  • 連絡擁有者以檢閱、淘汰及變更服務帳戶

範例 HR 案例

例如,有一個服務帳戶會執行具有連線至人力資源 SQL 資料庫之權限的網站。 下表列出該服務帳戶 CMDB 中的資訊 (包括範例):

資料 範例
擁有者、Deputy 名稱、名稱
目的 執行 HR 網頁並連線至 HR 資料庫。 在存取資料庫時模擬終端使用者。
權限、範圍 HR-WEBServer:在本機登入;執行網頁
HR-SQL1:在本機登入;具備所有 HR 資料庫的讀取權限
HR-SQL2:在本機登入;僅具備薪資資料庫的讀取權限
成本中心 123456
已評定風險 中度;商務影響:中度;私人資訊:中度
帳戶限制 登入目標:僅限先前提及的伺服器;不可以變更密碼;MBI-Password 原則;
存留期 不受限制
審查週期 每隔半年:依擁有者、安全性小組或隱私權小組

服務帳戶風險評量或正式審查

如果您的帳戶遭到未經授權的來源入侵,請評定相關聯應用程式、服務和基礎結構的風險。 請同時考量直接和間接的風險:

  • 未經授權的使用者可取得存取權的資源
    • 服務帳戶可以存取的其他資訊或系統
  • 帳戶可以授與的權限
    • 權限變更時的指示或訊號

風險評定之後,文件可能會顯示風險會影響帳戶:

  • 限制
  • 存留期
  • 檢閱需求
    • 頻率和檢閱者

建立服務帳戶並套用帳戶限制

注意

在風險評定之後建立服務帳戶,並在 CMDB 中記錄結果。 使帳戶限制與風險評定結果保持一致。

請考慮下列限制,但有些限制可能與您的評定無關。

服務帳戶審查

排程定期服務帳戶審查,特別是針對被分類為中度風險和高風險的帳戶。 審查可能包括:

  • 擁有者對帳戶之需求的證明,並說明權限和範圍的正當性
  • 包括上游和下游相依性的隱私權和安全性小組審查
  • 稽核資料審查
  • 確定帳戶是用於其所陳述的目的

取消佈建服務帳戶

在下列階段將服務帳戶取消佈建:

  • 在建立服務帳戶的指令碼或應用程式淘汰的時候
  • 在使用服務帳戶的指令碼或應用程式函式淘汰的時候
  • 在服務帳戶已由另一個服務帳戶取代的時候

取消佈建:

  1. 移除權限和監視。
  2. 檢查相關服務帳戶的登入和資源存取權,以確保不會對其產生任何潛在影響。
  3. 防止帳戶登入。
  4. 確定已不再需要該帳戶 (沒有任何投訴)。
  5. 建立商務原則以判斷停用帳戶的時間長度。
  6. 刪除服務帳戶。
  • MSA - 請參閱 Uninstall-ADServiceAccount (英文)
    • 使用 PowerShell,或從受管理的服務帳戶容器中手動加以刪除
  • 電腦或使用者帳戶 - 從 Active Directory 手動刪除該帳戶

下一步

若要深入了解如何保護服務帳戶,請參閱下列文章: