Control de las cuentas de servicio locales
Active Directory ofrece cuatro tipos de cuentas de servicio locales:
- Cuentas de servicio administradas por grupos (gMSA)
- Cuentas de servicio administradas independientes (sMSAs)
- Cuentas de equipo locales
- Cuentas de usuario que funcionan como cuentas de servicio
Parte de la gobernanza de cuentas de servicio incluye:
- Protegerlas, en función de los requisitos y la finalidad
- Administración del ciclo de vida de las cuentas y sus credenciales
- Evaluación de las cuentas de servicio, en función del riesgo y los permisos
- Asegurarse de que Active Directory (AD) y Microsoft Entra ID no tengan cuentas de servicio sin usar, con permisos
Nuevos principios de las cuentas de servicio
Al crear cuentas de servicio, tenga en cuenta la información de la tabla siguiente.
| Principio | Consideración |
|---|---|
| Asignación de cuentas de servicio | Conecte la cuenta de servicio a un servicio, una aplicación o un script. |
| Propiedad | Asegúrese de que haya un propietario de la cuenta que solicite y asuma la responsabilidad. |
| Ámbito | Defina el ámbito y anticipe la duración del uso. |
| Propósito | Cree cuentas de servicio para una finalidad. |
| Permisos | Aplique el principio de permisos mínimos: - No asignar permisos a grupos integrados, como los administradores - Quitar los permisos de equipo local, cuando sea factible - Personalizar el acceso y usar la delegación de AD para el acceso a directorios - Usar permisos de acceso granulares - Establecer restricciones de expiración y ubicación de la cuenta en cuentas de servicio basadas en usuarios |
| Supervisión y uso para auditorías | - Supervisar los datos de inicio de sesión y asegurarse de que coincidan con el uso previsto - Establecer alertas para el uso anómalo |
Restricciones de cuentas de usuario
En el caso de las cuentas de usuario utilizadas como cuentas de servicio, aplique la siguiente configuración:
- Expiración de la cuenta: establecer la expiración automática de la cuenta de servicio, después de su período de revisión, a menos que la cuenta pueda continuar
- LogonWorkstations: restringir los permisos de inicio de sesión de la cuenta de servicio
- Si se ejecuta localmente y tiene acceso a los recursos de la máquina, restrinja su inicio de sesión en cualquier otra parte.
- No se puede cambiar la contraseña: establecer el parámetro en true para evitar que la cuenta de servicio cambie su propia contraseña
Proceso de administración del ciclo de vida
Para ayudar a mantener la seguridad de la cuenta de servicio, adminístrelas desde el inicio hasta la retirada. Use el procedimiento siguiente:
- Recopile la información sobre el uso de la cuenta.
- Mueva la cuenta de servicio y la aplicación a la base de datos de administración de configuración (CMDB).
- Realice una evaluación de riesgos o una revisión formal.
- Cree la cuenta de servicio y aplique restricciones.
- Programe y realice revisiones periódicas.
- Ajuste los permisos y los ámbitos según sea necesario.
- Desaprovisione la cuenta.
Recopilación de información sobre el uso de la cuenta de servicio
Recopile información pertinente para cada cuenta de servicio. En la tabla siguiente se muestra la información mínima que se debe recopilar. Obtenga lo que se necesita para validar cada cuenta.
| data | Descripción |
|---|---|
| Propietario | Usuario o grupo responsables de la cuenta de servicio |
| Propósito | Propósito de la cuenta de servicio |
| Permisos (ámbitos) | Permisos previstos |
| Vínculos de CMDB | Cuenta de servicio entre vínculos con el script o la aplicación de destino y los propietarios |
| Riesgo | Resultados de una evaluación de riesgos de seguridad |
| Período de duración | Duración máxima anticipada para programar la expiración o la recertificación de la cuenta |
Haga la solicitud de autoservicio de la cuenta y requiera la información pertinente. El propietario es el propietario de una empresa o aplicación, un miembro de TI o el propietario de una infraestructura. Puede usar Microsoft Forms para solicitudes e información asociada. Si se aprueba la cuenta, use Microsoft Forms para migrarla a una herramienta de inventario de bases de datos de administración de configuración (CMDB).
Cuentas de servicio y CMDB
Almacene la información recopilada en una aplicación de CMDB. Incluya dependencias en la infraestructura, las aplicaciones y los procesos. Use este repositorio central para:
- Evaluar el riesgo
- Configurar la cuenta de servicio con restricciones
- Determinar las dependencias funcionales y de seguridad
- Hacer revisiones periódicas de seguridad y necesidades continuadas
- Ponerse en contacto con el propietario para revisar, retirar y cambiar la cuenta de servicio
Escenario de RR. HH. de ejemplo
Un ejemplo es una cuenta de servicio que ejecuta un sitio web con permisos para conectarse a bases de datos SQL de recursos humanos. La información almacenada en la CMDB para la cuenta de servicio, incluidas las descripciones de ejemplo, se muestra en la tabla siguiente:
| data | Ejemplo |
|---|---|
| Propietario, Suplente | Nombre, Nombre |
| Propósito | Ejecute la página web de RR. HH. y conéctese a sus bases de datos. Suplante a los usuarios finales al acceder a las bases de datos. |
| Permisos, ámbitos | HR-WEBServer: iniciar sesión localmente; ejecutar página web HR-SQL1: inicie sesión localmente; permisos de lectura en las bases de datos de RR. HH HR-SQL2: iniciar sesión localmente; permisos de lectura solo en la base de datos Salary |
| Centro de costos | 123456 |
| Riesgo evaluado | Medio; impacto empresarial: medio; información privada; medio |
| Restricciones de cuenta | Inicie sesión en: solo servidores mencionados anteriormente. No se puede cambiar la contraseña; directiva de contraseñas MBI; |
| Período de duración | Sin restricciones |
| Ciclo de revisión | Semestral: por propietario, equipo de seguridad o equipo de privacidad |
Evaluaciones de riesgos de la cuenta de servicio o revisiones formales
Si la cuenta está en peligro por un origen no autorizado, evalúe los riesgos para las aplicaciones, los servicios y la infraestructura asociados. Considere los riesgos directos e indirectos:
- Recursos a los que un usuario no autorizado puede acceder
- Otra información o sistemas a los que puede acceder la cuenta de servicio
- Permisos que la cuenta puede conceder
- Indicaciones o señales cuando cambian los permisos
Después de la evaluación de riesgos, es probable que la documentación muestre que los riesgos afectan a la cuenta:
- Restricciones
- Período de duración
- Revisión de los requisitos
- Cadencia y revisores
Creación de una cuenta de servicio y aplicación de restricciones de cuenta
Nota
Cree una cuenta de servicio después de la evaluación de riesgos y documente las conclusiones en una CMDB. Alinee las restricciones de cuenta con las conclusiones de la evaluación de riesgos.
Tenga en cuenta las siguientes restricciones, aunque es posible que algunas no sean pertinentes para la evaluación.
- Para las cuentas de usuario usadas como cuentas de servicio, defina una fecha de finalización realista
- Use la marca La cuenta expira para establecer la fecha
- Más información: Set-ADAccountExpiration
- Consulte Set-ADUser (Active Directory).
- Requisitos de directiva de contraseña
- Creación de cuentas en una ubicación de unidad organizativa que garantice que solo algunos usuarios la administrarán
- Configuración y recopilación de la auditoría que detecta los cambios en la cuenta de servicio:
- Consulte Auditoría de los cambios en el servicio de directorio y
- vaya a manageengine.com para consultar Auditoría de eventos de autenticación de Kerberos en AD.
- Concesión de acceso a la cuenta de forma más segura antes de pasar a producción
Revisiones de cuentas de servicio
Programe revisiones periódicas de cuentas de servicio, especialmente las clasificadas de riesgo medio y alto. Las revisiones pueden incluir:
- Atestación de propietario de la necesidad de la cuenta, con justificación de permisos y ámbitos
- Revisiones del equipo de privacidad y seguridad que incluyen dependencias ascendentes y descendentes
- Revisión de datos de auditoría
- Asegúrese de que la cuenta se usa para la finalidad indicada
Desaprovisionamiento de cuentas de servicio
Desaprovisione las cuentas de servicio en los siguientes momentos:
- Retirada de la aplicación o del script para el que se creó la cuenta de servicio
- Retirada de la función de la aplicación o del script para la que se usó la cuenta de servicio
- Reemplazo de la cuenta de servicio para otra
Para desaprovisionar:
- Quite los permisos y la supervisión.
- Examine los inicios de sesión y el acceso a los recursos de las cuentas de servicio relacionadas para garantizar que no haya ningún posible efecto en ellas.
- Evite el inicio de sesión de la cuenta.
- Asegúrese de que la cuenta ya no es necesaria (no haya ninguna queja).
- Cree una directiva empresarial que determine la cantidad de tiempo que están deshabilitadas las cuentas.
- Elimine la cuenta de servicio.
- MSA: consulte Uninstall-ADServiceAccount.
- Utilice PowerShell o elimínela manualmente desde el contenedor de la cuenta de servicio administrada.
- Cuentas de equipo o usuario: eliminar manualmente la cuenta de Active Directory
Pasos siguientes
Para obtener más información sobre la protección de las cuentas de servicio, consulte los artículos siguientes: