Zabezpečení místních účtů počítačů pomocí služby Active Directory
Účet počítače nebo účet LocalSystem je vysoce privilegovaný s přístupem k téměř všem prostředkům v místním počítači. Účet není přidružený k přihlášeným uživatelským účtům. Služby běží jako LocalSystem přístup k síťovým prostředkům tím, že předkládají přihlašovací údaje počítače vzdáleným serverům ve formátu <domain_name>\\<computer_name>$. Předdefinovaný název účtu počítače je NT AUTHORITY\SYSTEM. Službu můžete spustit a poskytnout kontext zabezpečení pro tuto službu.
Výhody používání účtu počítače
Účet počítače má následující výhody:
- Neomezený místní přístup – účet počítače poskytuje úplný přístup k místním prostředkům počítače.
- Automatická správa hesel – eliminuje potřebu ručně změněných hesel. Účet je členem služby Active Directory a jeho heslo se automaticky změní. U účtu počítače není nutné registrovat název instančního objektu.
- Omezená přístupová práva mimo počítač – výchozí seznam řízení přístupu ve službě Doména služby Active Directory Services (AD DS) umožňuje minimální přístup k účtům počítačů. Během přístupu neoprávněným uživatelem má služba omezený přístup k síťovým prostředkům.
Posouzení stavu zabezpečení účtu počítače
V následující tabulce najdete potenciální problémy s účtem počítače a jejich zmírnění.
| Problém s účtem počítače | Zmírnění |
|---|---|
| Účty počítačů se můžou odstranit a znovu vytvořit, když počítač opustí doménu a znovu se připojí k doméně. | Potvrďte požadavek na přidání počítače do skupiny služby Active Directory. Pokud chcete ověřit účty počítačů přidané do skupiny, použijte skripty v následující části. |
| Pokud přidáte účet počítače do skupiny, služby, které běží jako LocalSystem na tomto počítači, získají přístupová práva skupiny. | Buďte selektivní o členství ve skupinách účtů počítače. Nevytvářejte účet počítače jako člena skupiny správců domény. Přidružená služba má úplný přístup ke službě AD DS. |
| Nepřesné výchozí hodnoty sítě pro LocalSystem | Nepředpokládáte, že účet počítače má výchozí omezený přístup k síťovým prostředkům. Místo toho potvrďte členství ve skupinách pro tento účet. |
| Neznámé služby, které běží jako LocalSystem. | Ujistěte se, že služby spuštěné pod účtem LocalSystem jsou služby Microsoft nebo důvěryhodné služby. |
Vyhledání služeb a účtů počítačů
Pokud chcete najít služby, které běží pod účtem počítače, použijte následující rutinu PowerShellu:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Pokud chcete najít účty počítačů, které jsou členy konkrétní skupiny, spusťte následující rutinu PowerShellu:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Pokud chcete najít účty počítačů, které jsou členy skupin správců identit (správci domény, podnikoví správci a správci), spusťte následující rutinu PowerShellu:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Doporučení k účtu počítače
Důležité
Účty počítačů jsou vysoce privilegované, proto je použijte, pokud vaše služba vyžaduje neomezený přístup k místním prostředkům, na počítači a nemůžete použít účet spravované služby (MSA).
- Potvrzení spuštění služby vlastníka služby pomocí MSA
- Pokud to vaše služba podporuje, použijte skupinový účet spravované služby (gMSA) nebo samostatný účet spravované služby (sMSA).
- Použití uživatelského účtu domény s oprávněními potřebnými ke spuštění služby
Další kroky
Další informace o zabezpečení účtů služeb najdete v následujících článcích: