Protección de cuentas de servicio basadas en el usuario
Las cuentas de usuario locales eran el enfoque tradicional para ayudar a proteger los servicios que se ejecutan en Windows. Hoy, estas cuentas se usan si el servicio no admite cuentas de servicio administradas de grupo (gMSA) ni cuentas de servicio administradas independientes (sMSA). Para información sobre el tipo de cuenta que se debe usar, consulte Protección de cuentas de servicio locales.
Puede investigar el traslado del servicio para usar una cuenta de servicio de Azure, como una identidad administrada o un principio de servicio.
Más información:
- ¿Qué son las identidades administradas de recursos de Azure?
- Protección de entidades de servicio en Microsoft Entra ID
Puede crear cuentas de usuario locales para proporcionar seguridad para los servicios y permisos que las cuentas usan para acceder a los recursos locales y de red. Las cuentas de usuario locales requieren la administración manual de contraseñas, como otras cuentas de usuario de Active Directory (AD). Los administradores de servicios y dominios deben mantener los procesos seguros de administración de contraseñas para ayudar a mantener protegidas las cuentas.
Cuando cree una cuenta de usuario como cuenta de servicio, úsela para un servicio. Use una convención de nomenclatura que aclare que es una cuenta de servicio y el servicio al que está relacionado.
Ventajas y desafíos
Las cuentas de usuario locales son un tipo de cuenta versátil. Las directivas que rigen las cuentas de usuario normales controlan las cuentas de usuario que se usan como cuentas de servicio. Úselas si no puede usar un MSA. Evalúe si una cuenta de equipo es una mejor opción.
Los desafíos de las cuentas de usuario locales se resumen en la tabla siguiente:
Desafío | Mitigación |
---|---|
La administración de contraseñas es manual y conduce a una seguridad más débil y al tiempo de inactividad del servicio | - Garantizar la complejidad normal de la contraseña y que los cambios se rigen por un proceso que mantiene las contraseñas seguras - Coordinar los cambios de contraseña con una contraseña de servicio, lo que ayuda a reducir el tiempo de inactividad del servicio |
La identificación de las cuentas de usuario locales que son cuentas de servicio puede ser difícil | - Documentar las cuentas de servicio implementadas en el entorno - Realizar un seguimiento del nombre de la cuenta y de los recursos a los que pueden acceder - Considerar la posibilidad de agregar el prefijo svc a las cuentas de usuario que se usan como cuentas de servicio |
Búsqueda de cuentas de usuario locales que se utilizan como cuentas de servicio
Las cuentas de usuario locales son como cualquier otra cuenta de usuario de AD. Puede ser difícil encontrar las cuentas, ya que ningún atributo de cuenta de usuario la identifica como cuenta de servicio. Se recomienda crear una convención de nomenclatura para los usos de las cuentas de usuario como cuentas de servicio. Por ejemplo, agregue el prefijo svc a un nombre de servicio: svc-HRDataConnector.
Use algunos de los criterios siguientes para buscar cuentas de servicio. Sin embargo, es posible que este enfoque no encuentre cuentas:
- De confianza para la delegación
- Con nombres de entidades de seguridad de servicio
- Con contraseñas que nunca expiran
Para buscar las cuentas de usuario locales usadas para servicios, ejecute los siguientes comandos de PowerShell:
Para buscar cuentas de confianza para la delegación:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Para buscar cuentas con nombres de entidad de seguridad de servicio:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Para buscar cuentas con contraseñas que no expiran nunca:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Puede auditar el acceso a recursos confidenciales y archivar los registros de auditoría en un sistema de administración de eventos e información de seguridad (SIEM). Mediante Azure Log Analytics o Microsoft Sentinel, puede buscar y analizar cuentas de servicio.
Evaluación de la seguridad de la cuenta de usuario local
Use los siguientes criterios para evaluar la seguridad de las cuentas de usuario locales que se usan como cuentas de servicio:
- Directiva de administración de contraseñas
- Cuentas con pertenencia en grupos con privilegios
- Permisos de lectura y escritura para recursos importantes
Mitigación de posibles problemas de seguridad
Consulte la tabla siguiente para ver posibles incidencias de seguridad de las cuentas de usuario locales y sus mitigaciones:
Problema de seguridad | Mitigación |
---|---|
Administración de contraseñas | - Asegurarse de que la complejidad de las contraseñas y el cambio de las contraseñas se rijan actualizaciones periódicas y requisitos de contraseña seguros - Coordinar los cambios de contraseñas con una actualización de contraseñas para minimizar el tiempo de inactividad del servicio |
La cuenta pertenece a grupos con privilegios | - Revisar la pertenencia a grupos - Quitar la cuenta de grupos con privilegios - Conceder los derechos y permisos de cuenta para ejecutar su servicio (consultar con el proveedor del servicio) Por ejemplo, denegar el inicio de sesión localmente o el inicio de sesión interactivo |
La cuenta tiene permisos de lectura y escritura para recursos confidenciales | - Auditar el acceso a recursos confidenciales - Archivar los registros de auditoría en un SIEM: Azure Log Analytics o Microsoft Sentinel - Corregir los permisos de recursos si se detecta niveles de acceso no deseados |
Protección de tipos de cuenta
Microsoft no recomienda el uso de cuentas de usuario locales como cuentas de servicio. Para los servicios que usan este tipo de cuenta, evalúe si se puede configurar para usar una gMSA o una sMSA. Además, evalúe si puede trasladar el servicio a Azure para habilitar el uso de tipos de cuenta más seguros.
Pasos siguientes
Para obtener más información acerca de la protección de cuentas de servicio: