Condividi tramite


Proteggere gli account dei servizi basati sugli utenti sicuri in Active Directory

Gli account utente locali costituivano l'approccio tradizionale per proteggere i servizi in esecuzione in Windows. Usare questi account, se gli account del servizio gestito del gruppo (gMSA) e gli account del servizio gestito autonomi (sMSA) non sono supportati dal servizio. Per informazioni sul tipo di account da usare, vedere Protezione degli account del servizio locale.

È possibile esaminare lo spostamento del servizio in un account del servizio di Azure, ad esempio un'identità gestita o un'entità servizio.

Altre informazioni:

È possibile creare account utente locali per fornire sicurezza per i servizi e le autorizzazioni usate dagli account per accedere alle risorse locali e di rete. Gli account utente locali richiedono la gestione manuale delle password, ad esempio altri account utente di Active Directory (AD). Gli amministratori del servizio e del dominio sono necessari per mantenere i processi di gestione delle password sicuri in modo da proteggere gli account.

Quando si crea un account utente come account del servizio, usarlo per un solo servizio. Usare una convenzione di denominazione che chiarisca che si tratta di un account del servizio e del servizio a cui è correlato.

Vantaggi e problematiche

Gli account utente locali sono un tipo di account versatile. Gli account utente usati come account di servizio sono controllati dai criteri che regolano gli account utente. Usare questi, se non è possibile usare un account del servizio gestito. Valutare se un account computer è un'opzione migliore.

Le problematiche degli account utente locali sono riepilogate nella tabella seguente:

Esercizio Strategia di riduzione del rischio
La gestione delle password è manuale e comporta un tempo di inattività che indebolisce la sicurezza e il servizio - Garantire la complessità regolare delle password e che le modifiche siano regolate da un processo che gestisce password complesse
- Coordinare le modifiche delle password con una password di servizio che consente di ridurre i tempi di inattività del servizio
L'identificazione degli account utente locali che sono account di servizio può essere difficile - Documentare gli account di servizio distribuiti nell'ambiente
- Tenere traccia del nome dell'account e delle risorse a cui si può accedere
- Valutare la possibilità di aggiungere il prefisso svc agli account utente usati come account di servizio

Trovare gli account utente locali usati come account del servizio

Gli account utente locali sono simili ad altri account utente di Active Directory. Può essere difficile trovare gli account, perché nessun attributo dell'account utente lo identifica come account del servizio. È consigliabile creare una convenzione di denominazione per gli account utente usati come account del servizio. Ad esempio aggiungere il prefisso svc a un nome del servizio: svc-HRDataConnector.

Usare alcuni dei criteri seguenti per trovare gli account di servizio. Tuttavia, con questo approccio è probabile che non si trovino account corrispondenti:

  • Attendibile per la delega
  • Con nomi dell'entità servizio
  • Con password che non scadono mai

Per trovare gli account utente locali usati per i servizi, eseguire i comandi di PowerShell seguenti:

Per trovare gli account attendibili per la delega:


Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}

Per trovare gli account con nomi di entità servizio:


Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}

Per trovare gli account con password che non scadono mai:


Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}

È possibile controllare l'accesso alle risorse sensibili e archiviare i log di controllo in un sistema SIEM (Security Information and Event Management). Usando Azure Log Analytics o Microsoft Sentinel, è possibile cercare e analizzare gli account del servizio.

Valutare la sicurezza dell'account utente locale

Usare i criteri seguenti per valutare la sicurezza degli account utente locali usati come account del servizio:

  • Criteri di gestione delle password
  • Account con appartenenza a gruppi con privilegi
  • Autorizzazioni di lettura/scrittura per risorse importanti

Attenuare i potenziali problemi di sicurezza

Vedere la tabella seguente per i potenziali problemi di sicurezza degli account utente locali e le relative mitigazioni:

Problema di sicurezza Strategia di riduzione del rischio
Gestione delle password - Assicurarsi che la complessità delle password e la modifica delle password siano regolate da aggiornamenti regolari e dai requisiti delle password complesse
- Coordinare le modifiche delle password con un aggiornamento delle password per ridurre al minimo i tempi di inattività del servizio
L'account è un membro dei gruppi con privilegi - Esaminare l'appartenenza al gruppo
- Rimuovere l'account dai gruppi con privilegi
- Concedere i diritti e le autorizzazioni dell'account per l'esecuzione del servizio (rivolgersi al fornitore del servizio)
- Ad esempio, negare l'accesso in locale o l'accesso interattivo
L'account dispone di autorizzazioni di lettura/scrittura per le risorse sensibili - Controllare l'accesso alle risorse sensibili
- Archiviare i log di controllo in un sistema SIEM (Security Information and Event Management): Azure Log Analytics o Microsoft Sentinel
- Correggere le autorizzazioni delle risorse se si rilevano livelli di accesso indesiderati

Tipi di account sicuri

Microsoft non consiglia l'uso di account utente locali come account del servizio. Per i servizi che usano questo tipo di account, valutare se può essere configurato come un account del servizio gestito del gruppo o un account autonomo del servizio gestito. Valutare inoltre se è possibile spostare il servizio in Azure per abilitare l'uso di tipi di account più sicuri.

Passaggi successivi

Per altre informazioni sulla protezione degli account del servizio: