Compartir vía


Protección de cuentas de servicio basadas en el usuario

Las cuentas de usuario locales eran el enfoque tradicional para ayudar a proteger los servicios que se ejecutan en Windows. Hoy, estas cuentas se usan si el servicio no admite cuentas de servicio administradas de grupo (gMSA) ni cuentas de servicio administradas independientes (sMSA). Para información sobre el tipo de cuenta que se debe usar, consulte Protección de cuentas de servicio locales.

Puede investigar el traslado del servicio para usar una cuenta de servicio de Azure, como una identidad administrada o un principio de servicio.

Más información:

Puede crear cuentas de usuario locales para proporcionar seguridad para los servicios y permisos que las cuentas usan para acceder a los recursos locales y de red. Las cuentas de usuario locales requieren la administración manual de contraseñas, como otras cuentas de usuario de Active Directory (AD). Los administradores de servicios y dominios deben mantener los procesos seguros de administración de contraseñas para ayudar a mantener protegidas las cuentas.

Cuando cree una cuenta de usuario como cuenta de servicio, úsela para un servicio. Use una convención de nomenclatura que aclare que es una cuenta de servicio y el servicio al que está relacionado.

Ventajas y desafíos

Las cuentas de usuario locales son un tipo de cuenta versátil. Las directivas que rigen las cuentas de usuario normales controlan las cuentas de usuario que se usan como cuentas de servicio. Úselas si no puede usar un MSA. Evalúe si una cuenta de equipo es una mejor opción.

Los desafíos de las cuentas de usuario locales se resumen en la tabla siguiente:

Desafío Mitigación
La administración de contraseñas es manual y conduce a una seguridad más débil y al tiempo de inactividad del servicio - Garantizar la complejidad normal de la contraseña y que los cambios se rigen por un proceso que mantiene las contraseñas seguras
- Coordinar los cambios de contraseña con una contraseña de servicio, lo que ayuda a reducir el tiempo de inactividad del servicio
La identificación de las cuentas de usuario locales que son cuentas de servicio puede ser difícil - Documentar las cuentas de servicio implementadas en el entorno
- Realizar un seguimiento del nombre de la cuenta y de los recursos a los que pueden acceder
- Considerar la posibilidad de agregar el prefijo svc a las cuentas de usuario que se usan como cuentas de servicio

Búsqueda de cuentas de usuario locales que se utilizan como cuentas de servicio

Las cuentas de usuario locales son como cualquier otra cuenta de usuario de AD. Puede ser difícil encontrar las cuentas, ya que ningún atributo de cuenta de usuario la identifica como cuenta de servicio. Se recomienda crear una convención de nomenclatura para los usos de las cuentas de usuario como cuentas de servicio. Por ejemplo, agregue el prefijo svc a un nombre de servicio: svc-HRDataConnector.

Use algunos de los criterios siguientes para buscar cuentas de servicio. Sin embargo, es posible que este enfoque no encuentre cuentas:

  • De confianza para la delegación
  • Con nombres de entidades de seguridad de servicio
  • Con contraseñas que nunca expiran

Para buscar las cuentas de usuario locales usadas para servicios, ejecute los siguientes comandos de PowerShell:

Para buscar cuentas de confianza para la delegación:


Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}

Para buscar cuentas con nombres de entidad de seguridad de servicio:


Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}

Para buscar cuentas con contraseñas que no expiran nunca:


Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}

Puede auditar el acceso a recursos confidenciales y archivar los registros de auditoría en un sistema de administración de eventos e información de seguridad (SIEM). Mediante Azure Log Analytics o Microsoft Sentinel, puede buscar y analizar cuentas de servicio.

Evaluación de la seguridad de la cuenta de usuario local

Use los siguientes criterios para evaluar la seguridad de las cuentas de usuario locales que se usan como cuentas de servicio:

  • Directiva de administración de contraseñas
  • Cuentas con pertenencia en grupos con privilegios
  • Permisos de lectura y escritura para recursos importantes

Mitigación de posibles problemas de seguridad

Consulte la tabla siguiente para ver posibles incidencias de seguridad de las cuentas de usuario locales y sus mitigaciones:

Problema de seguridad Mitigación
Administración de contraseñas - Asegurarse de que la complejidad de las contraseñas y el cambio de las contraseñas se rijan actualizaciones periódicas y requisitos de contraseña seguros
- Coordinar los cambios de contraseñas con una actualización de contraseñas para minimizar el tiempo de inactividad del servicio
La cuenta pertenece a grupos con privilegios - Revisar la pertenencia a grupos
- Quitar la cuenta de grupos con privilegios
- Conceder los derechos y permisos de cuenta para ejecutar su servicio (consultar con el proveedor del servicio)
Por ejemplo, denegar el inicio de sesión localmente o el inicio de sesión interactivo
La cuenta tiene permisos de lectura y escritura para recursos confidenciales - Auditar el acceso a recursos confidenciales
- Archivar los registros de auditoría en un SIEM: Azure Log Analytics o Microsoft Sentinel
- Corregir los permisos de recursos si se detecta niveles de acceso no deseados

Protección de tipos de cuenta

Microsoft no recomienda el uso de cuentas de usuario locales como cuentas de servicio. Para los servicios que usan este tipo de cuenta, evalúe si se puede configurar para usar una gMSA o una sMSA. Además, evalúe si puede trasladar el servicio a Azure para habilitar el uso de tipos de cuenta más seguros.

Pasos siguientes

Para obtener más información acerca de la protección de cuentas de servicio: