Zabezpieczanie lokalnych kont komputerów za pomocą usługi Active Directory
Konto komputera lub konto LocalSystem jest wysoce uprzywilejowane z dostępem do prawie wszystkich zasobów na komputerze lokalnym. Konto nie jest skojarzone z zalogowanymi kontami użytkowników. Usługi są uruchamiane jako zasoby sieciowe dostępu localSystem przez przedstawienie poświadczeń komputera do serwerów zdalnych w formacie <domain_name>\\<computer_name>$. Wstępnie zdefiniowana nazwa konta komputera to NT AUTHORITY\SYSTEM. Możesz uruchomić usługę i zapewnić kontekst zabezpieczeń dla tej usługi.
Korzyści wynikające z korzystania z konta komputera
Konto komputera ma następujące korzyści:
- Nieograniczony dostęp lokalny — konto komputera zapewnia pełny dostęp do zasobów lokalnych maszyny
- Automatyczne zarządzanie hasłami — eliminuje konieczność ręcznego zmieniania haseł. Konto jest członkiem usługi Active Directory, a jego hasło jest automatycznie zmieniane. W przypadku konta komputera nie ma potrzeby rejestrowania nazwy głównej usługi.
- Ograniczone prawa dostępu poza maszyną — domyślna lista kontroli dostępu w usługach domena usługi Active Directory (AD DS) zezwala na minimalny dostęp do kont komputerów. Podczas uzyskiwania dostępu przez nieautoryzowanego użytkownika usługa ma ograniczony dostęp do zasobów sieciowych.
Ocena stanu zabezpieczeń konta komputera
Skorzystaj z poniższej tabeli, aby przejrzeć potencjalne problemy i środki zaradcze związane z kontem komputera.
| Problem z kontem komputera | Czynności zapobiegawcze |
|---|---|
| Konta komputerów podlegają usunięciu i ponownym utworzeniu, gdy komputer opuści i ponownie dołączy do domeny. | Potwierdź wymaganie dodania komputera do grupy usługi Active Directory. Aby zweryfikować konta komputerów dodane do grupy, użyj skryptów w poniższej sekcji. |
| Jeśli dodasz konto komputera do grupy, usługi, które działają jako LocalSystem na tym komputerze, uzyskają prawa dostępu do grupy. | Należy selektywnie wybierać członkostwo w grupach kont komputerów. Nie należy tworzyć konta komputera członka grupy administratorów domeny. Skojarzona usługa ma pełny dostęp do usług AD DS. |
| Niedokładne wartości domyślne sieci dla systemu lokalnego. | Nie zakładaj, że konto komputera ma domyślny ograniczony dostęp do zasobów sieciowych. Zamiast tego potwierdź członkostwo w grupach dla konta. |
| Nieznane usługi, które działają jako LocalSystem. | Upewnij się, że usługi uruchamiane na koncie LocalSystem są usługi firmy Microsoft lub zaufane usługi. |
Znajdowanie usług i kont komputerów
Aby znaleźć usługi uruchamiane na koncie komputera, użyj następującego polecenia cmdlet programu PowerShell:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Aby znaleźć konta komputerów, które są członkami określonej grupy, uruchom następujące polecenie cmdlet programu PowerShell:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Aby znaleźć konta komputerów, które są członkami grup administratorów tożsamości (administratorzy domeny, administratorzy przedsiębiorstwa i administratorzy), uruchom następujące polecenie cmdlet programu PowerShell:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Zalecenia dotyczące konta komputera
Ważne
Konta komputerów są wysoce uprzywilejowane, dlatego należy ich używać, jeśli usługa wymaga nieograniczonego dostępu do zasobów lokalnych, na maszynie i nie można użyć zarządzanego konta usługi (MSA).
- Potwierdzanie uruchomienia usługi właściciela usługi za pomocą usługi MSA
- Użyj konta usługi zarządzanego przez grupę (gMSA) lub autonomicznego zarządzanego konta usługi (sMSA), jeśli usługa ją obsługuje
- Używanie konta użytkownika domeny z uprawnieniami wymaganymi do uruchomienia usługi
Następne kroki
Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz następujące artykuły: