Gestire gli account dei servizi utenti locali
Active Directory offre quattro tipi di account del servizio locale:
- Account dei servizi gestiti di gruppo (gMSA)
- Account del servizio gestito autonomo (sMSA)
- Account computer locali
- Account utente che funzionano come account del servizio
Parte della governance degli account del servizio include:
- Proteggerli, in base ai requisiti e allo scopo
- Gestione del ciclo di vita dell'account e delle relative credenziali
- Valutazione degli account del servizio, in base al rischio e alle autorizzazioni
- Verificare che Active Directory (AD) e Microsoft Entra ID non dispongano di account di servizio inutilizzati, con autorizzazioni
Nuovi principi dell'account del servizio
Quando si creano account di servizio, prendere in considerazione le informazioni nella tabella seguente.
| Principio | Considerazione |
|---|---|
| Mapping dell'account del servizio | Connettere l'account del servizio a un servizio, a un'applicazione o a uno script |
| Proprietà | Assicurarsi che sia presente un proprietario dell'account che richiede e assume la responsabilità |
| Ambito | Definire l'ambito e prevedere la durata dell'utilizzo |
| Scopo | Creare account di servizio per uno scopo |
| Autorizzazioni | Applicare il principio dell'autorizzazione minima: - Non assegnare autorizzazioni ai gruppi predefiniti, ad esempio amministratori - Rimuovere le autorizzazioni del computer locale, se possibile - Personalizzare l'accesso e usare la delega di Active Directory per l'accesso alla directory - Usare autorizzazioni di accesso granulare - Impostare le restrizioni di scadenza account e posizione negli account del servizio basati sull'utente |
| Monitorare e controllare l'uso | - Monitorare i dati di accesso e assicurarsi che corrispondano all'utilizzo previsto - Impostare avvisi per l'utilizzo anomalo |
Restrizioni dell'account utente
Per gli account utente usati come account del servizio, applicare le impostazioni seguenti:
- Scadenza dell'account: impostare l'account del servizio in modo che scada automaticamente, dopo il periodo di revisione, a meno che l'account non possa proseguire
- AccessoWorkstations: limitare le autorizzazioni di accesso all'account del servizio
- Se viene eseguito in locale e accede alle risorse nel computer, limitarlo all'accesso altrove
- Non è possibile modificare la password: impostare il parametro su true per impedire all'account del servizio di modificare la propria password
Processo di gestione del ciclo di vita
Per contribuire a mantenere la sicurezza degli account del servizio, gestirli dall'inizio alla rimozione delle autorizzazioni. Usare il processo seguente:
- Raccogliere informazioni sull'utilizzo dell'account.
- Spostare l'account del servizio e l'app nel database di gestione della configurazione (CMDB).
- Eseguire una valutazione dei rischi o una revisione formale.
- Creare l'account del servizio e applicare restrizioni.
- Pianificare ed eseguire revisioni ricorrenti.
- Modificare le autorizzazioni e gli ambiti in base alle esigenze.
- Eseguire il deprovisioning dell'account.
Raccogliere informazioni sull'utilizzo dell'account del servizio
Raccogliere informazioni pertinenti per ogni account del servizio. Nella tabella seguente sono elencate le informazioni minime da raccogliere. Ottenere gli elementi necessari per convalidare ogni account.
| Dati | Descrizione |
|---|---|
| Proprietario | L'utente o il gruppo responsabile per l'account del servizio |
| Scopo | Scopo dell'account del servizio |
| Autorizzazioni (ambiti) | Autorizzazioni previste |
| Link cmdb | L'account del servizio tra collegamenti con lo script o l'applicazione di destinazione e i proprietari |
| Rischio | Risultati di una valutazione dei rischi per la sicurezza |
| Durata | Durata massima prevista per pianificare la scadenza o la ricertificazione dell'account |
Effettuare la richiesta self-service dell'account e richiedere le informazioni pertinenti. Il proprietario è un'applicazione o un proprietario dell'azienda, un membro del team IT o un proprietario dell'infrastruttura. È possibile usare Microsoft Forms per le richieste e le informazioni associate. Se l'account è approvato, usare Microsoft Forms per convertirlo in uno strumento di inventario di database di gestione della configurazione (CMDB).
Account del servizio e CMDB
Archiviare le informazioni raccolte in un'applicazione CMDB. Includere dipendenze da infrastruttura, app e processi. Usare questo repository centrale per:
- Valutare il rischio
- Configurare l'account del servizio con restrizioni
- Verificare le dipendenze funzionali e di sicurezza
- Eseguire revisioni regolari per la sicurezza e la necessità continua
- Contattare il proprietario per prendere in esame, ritirare e modificare l'account del servizio
Scenario HR di esempio
Un esempio è un account del servizio che esegue un sito Web con autorizzazioni per connettersi ai database SQL delle risorse umane. Le informazioni nell'account del servizio CMDB, inclusi gli esempi, sono disponibili nella tabella seguente:
| Dati | Esempio |
|---|---|
| Proprietario, Vice | Nome, Nome |
| Scopo | Eseguire la pagina Web HR e connettersi ai database HR. Rappresentare gli utenti finali durante l'accesso ai database. |
| Autorizzazioni, ambiti | HR-WEBServer: accedere localmente; eseguire la pagina Web HR-SQL1: accedere in locale; autorizzazioni di lettura per i database HR HR-SQL2: accedere in locale; autorizzazioni di lettura solo per il database Salary |
| Centro di costo | 123456 |
| Valutazione dei rischi | Medio; Impatto aziendale: medio; informazioni private; Medio |
| Restrizioni dell'account | Accedere a: solo i server menzionati in precedenza; Non è possibile modificare la password; Criteri MBI-Password; |
| Durata | Senza restrizioni |
| Ciclo di revisione | Biannually: per proprietario, team di sicurezza o team della privacy |
Valutazioni dei rischi dell'account del servizio o revisioni formali
Se l'account viene compromesso da un'origine non autorizzata, valutare i rischi per le applicazioni, i servizi e l'infrastruttura associati. Considerare i rischi diretti e indiretti:
- Le risorse a cui un utente non autorizzato può accedere
- Altre informazioni o sistemi a cui l'account del servizio può accedere
- Autorizzazioni che l'account può concedere
- Indicazioni o segnali quando le autorizzazioni cambiano
Dopo la valutazione dei rischi, la documentazione mostra probabilmente che i rischi influiscono sull'account:
- Restrizioni
- Durata
- Esaminare i requisiti
- Frequenza e revisori
Creare un account del servizio e applicare restrizioni all'account
Nota
Creare un account del servizio dopo la valutazione dei rischi e documentare i risultati in un CMDB. Allineare le restrizioni dell'account ai risultati della valutazione dei rischi.
Prendere in considerazione le restrizioni seguenti, anche se alcune potrebbero non essere rilevanti per la valutazione.
- Per gli account utente usati come account del servizio, definire una data di fine realistica
- Usare il flag Scadenza account per impostare la data
- Altre informazioni: Set-ADAccountExpiration
- Vedere Set-ADUser (Active Directory)
- Requisiti dei criteri password
- Creare account in una posizione dell'unità organizzativa che garantisce che solo alcuni utenti la gestiranno
- Configurare e raccogliere il controllo che rileva le modifiche dell'account del servizio:
- Vedere Controllo delle modifiche al servizio directory e
- Passare a manageengine.com per sapere Come controllare gli eventi di autenticazione Kerberos in AD
- Concedere l'accesso all'account in modo più sicuro prima di passare all'ambiente di produzione
Revisioni dell'account del servizio
Pianificare revisioni regolari degli account di servizio, in particolare quelle classificate a medio e alto rischio. Le recensioni possono includere:
- Attestazione del proprietario della necessità dell'account, con giustificazione di autorizzazioni e ambiti
- Revisioni del team di privacy e sicurezza che includono dipendenze upstream e downstream
- Revisione dei dati di controllo
- Verificare che l'account venga usato per lo scopo dichiarato
Eseguire il deprovisioning degli account del servizio
Eseguire il deprovisioning degli account del servizio nelle circostanze seguenti:
- Ritiro dello script o dell'applicazione per cui è stato creato l'account del servizio
- Ritiro dello script o della funzione dell'applicazione, per cui è stato usato l'account del servizio
- Sostituzione dell'account del servizio per un altro
Per eseguire il deprovisioning:
- Rimuovere autorizzazioni e monitoraggio.
- Prendere in esame gli accessi e l'accesso alle risorse degli account di servizio correlati per garantire che non siano possibili effetti su di essi.
- Impedire l'accesso all'account.
- Assicurarsi che l'account non sia più necessario (non è presente alcun reclamo).
- Creare criteri aziendali che determinano la quantità di tempo per cui gli account sono disabilitati.
- Eliminare l'account del servizio.
- MSA: vedere, Uninstall-ADServiceAccount
- Usare PowerShell o eliminarlo manualmente dal contenitore dell'account del servizio gestito
- Account computer o utente: eliminare manualmente l'account da Active Directory
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio, vedere gli articoli seguenti: