Zarządzanie lokalnymi kontami usług
Usługa Active Directory oferuje cztery typy lokalnych kont usług:
- Konta usług zarządzanych przez grupę (gMSA)
- Autonomiczne zarządzane konta usług (sMSA)
- Konta komputerów lokalnych
- Konta użytkowników działające jako konta usług
Część ładu konta usługi obejmuje:
- Ochrona ich w oparciu o wymagania i cel
- Zarządzanie cyklem życia konta i ich poświadczeniami
- Ocenianie kont usług na podstawie ryzyka i uprawnień
- Zapewnienie, że identyfikator usługi Active Directory (AD) i identyfikator entra firmy Microsoft nie mają nieużywanych kont usług z uprawnieniami
Nowe zasady konta usługi
Podczas tworzenia kont usług należy wziąć pod uwagę informacje w poniższej tabeli.
| Zasada | Kwestie wymagające rozważenia |
|---|---|
| Mapowanie konta usługi | Połączenie konto usługi do usługi, aplikacji lub skryptu |
| Własność | Upewnij się, że istnieje właściciel konta, który żąda i przejmuje odpowiedzialność |
| Scope | Definiowanie zakresu i przewidywanie czasu trwania użycia |
| Przeznaczenie | Tworzenie kont usług w jednym celu |
| Uprawnienia | Zastosuj zasadę najmniejszych uprawnień: — Nie przypisuj uprawnień do wbudowanych grup, takich jak administratorzy — usuwanie uprawnień komputera lokalnego, gdzie jest to możliwe — Dostosowywanie dostępu i używanie delegowania usługi AD do dostępu do katalogu — Używanie szczegółowych uprawnień dostępu — Ustawianie ograniczeń wygasania konta i lokalizacji na kontach usług opartych na użytkownikach |
| Monitorowanie i inspekcja użycia | — Monitoruj dane logowania i upewnij się, że są zgodne z zamierzonym użyciem — ustawianie alertów dotyczących nietypowego użycia |
Ograniczenia konta użytkownika
W przypadku kont użytkowników używanych jako konta usług zastosuj następujące ustawienia:
- Wygaśnięcie konta — ustaw konto usługi tak, aby automatycznie wygasało, po upływie okresu przeglądu, chyba że konto może kontynuować
- LogonWorkstations — ograniczanie uprawnień logowania do konta usługi
- Jeśli działa lokalnie i uzyskuje dostęp do zasobów na maszynie, ogranicz ją przed logowaniem się w innym miejscu
- Nie można zmienić hasła — ustaw parametr na wartość true , aby zapobiec zmianie własnego hasła przez konto usługi
Proces zarządzania cyklem życia
Aby pomóc w utrzymaniu zabezpieczeń konta usługi, zarządzaj nimi od początku do likwidacji. Użyj następującego procesu:
- Zbieranie informacji o użyciu konta.
- Przenieś konto usługi i aplikację do bazy danych zarządzania konfiguracją (CMDB).
- Przeprowadzanie oceny ryzyka lub formalnego przeglądu.
- Utwórz konto usługi i zastosuj ograniczenia.
- Zaplanuj i wykonaj przeglądy cykliczne.
- Dostosuj uprawnienia i zakresy zgodnie z potrzebami.
- Anulowanie aprowizacji konta.
Zbieranie informacji o użyciu konta usługi
Zbierz odpowiednie informacje dla każdego konta usługi. W poniższej tabeli wymieniono minimalne informacje do zebrania. Uzyskaj informacje potrzebne do zweryfikowania poszczególnych kont.
| Dane | opis |
|---|---|
| Właściciel | Użytkownik lub grupa do odpowiedzialności za konto usługi |
| Przeznaczenie | Cel konta usługi |
| Uprawnienia (zakresy) | Oczekiwane uprawnienia |
| Łącza usługi CMDB | Konto usługi obejmujące wiele linków ze skryptem docelowym lub aplikacją oraz właścicielami |
| Ryzyko | Wyniki oceny ryzyka bezpieczeństwa |
| Okres istnienia | Przewidywany maksymalny okres istnienia zaplanowany wygaśnięcia lub ponownego certyfikatu konta |
Utwórz żądanie samoobsługi konta i wymagaj odpowiednich informacji. Właściciel jest właścicielem aplikacji lub firmy, członkiem zespołu IT lub właścicielem infrastruktury. Formularze Microsoft Forms można używać do żądań i skojarzonych informacji. Jeśli konto zostanie zatwierdzone, użyj programu Microsoft Forms, aby przełożyć go na narzędzie spisu baz danych zarządzania konfiguracją (CMDB).
Konta usług i CMDB
Przechowuj zebrane informacje w aplikacji CMDB. Uwzględnij zależności dotyczące infrastruktury, aplikacji i procesów. Użyj tego centralnego repozytorium, aby:
- Ocena ryzyka
- Konfigurowanie konta usługi z ograniczeniami
- Ustalanie zależności funkcjonalnych i zależności zabezpieczeń
- Przeprowadzanie regularnych przeglądów bezpieczeństwa i ciągłego zapotrzebowania
- Skontaktuj się z właścicielem, aby przejrzeć, wycofać i zmienić konto usługi
Przykładowy scenariusz hr
Przykładem jest konto usługi, które uruchamia witrynę internetową z uprawnieniami do łączenia się z bazami danych SQL Human Resources. Informacje na koncie usługi CMDB, w tym przykłady, znajduje się w poniższej tabeli:
| Data | Przykład |
|---|---|
| Właściciel, Zastępca | Nazwa, Nazwa |
| Przeznaczenie | Uruchom stronę internetową KADR i połącz się z bazami danych HR. Personifikuj użytkowników końcowych podczas uzyskiwania dostępu do baz danych. |
| Uprawnienia, zakresy | HR-WEBServer: logowanie lokalne; uruchamianie strony internetowej HR-SQL1: logowanie lokalne; uprawnienia do odczytu w bazach danych HR HR-SQL2: logowanie lokalne; uprawnienia do odczytu tylko w bazie danych wynagrodzenia |
| Centrum kosztów | 123456 |
| Ocena ryzyka | Średni; Wpływ na działalność biznesową: średni; informacje prywatne; Średni |
| Ograniczenia konta | Zaloguj się do: tylko wyżej wymienione serwery; Nie można zmienić hasła; ZASADY MBI-Password; |
| Okres istnienia | Bez ograniczeń |
| Cykl przeglądu | Biannually: według właściciela, zespołu ds. zabezpieczeń lub zespołu ds. prywatności |
Oceny ryzyka konta usługi lub przeglądy formalne
Jeśli twoje konto zostało naruszone przez nieautoryzowane źródło, oceń czynniki ryzyka związane z skojarzonymi aplikacjami, usługami i infrastrukturą. Rozważ bezpośrednie i pośrednie ryzyko:
- Zasoby, do których nieautoryzowany użytkownik może uzyskać dostęp
- Inne informacje lub systemy, do których może uzyskiwać dostęp konto usługi
- Uprawnienia, które może przyznać konto
- Wskazania lub sygnały, gdy uprawnienia się zmieniają
Po ocenie ryzyka dokumentacja prawdopodobnie pokazuje, że czynniki ryzyka wpływają na konto:
- Ograniczenia
- Okres istnienia
- Przegląd wymagań
- Cykle i recenzenci
Tworzenie konta usługi i stosowanie ograniczeń konta
Uwaga
Utwórz konto usługi po ocenie ryzyka i udokumentowanie wyników w bazie danych CMDB. Dopasuj ograniczenia konta do wyników oceny ryzyka.
Należy wziąć pod uwagę następujące ograniczenia, chociaż niektóre mogą nie być istotne dla oceny.
- W przypadku kont użytkowników używanych jako konta usług zdefiniuj realistyczną datę zakończenia
- Użyj flagi Wygaśnięcie konta, aby ustawić datę
- Dowiedz się więcej: Set-ADAccountExpiration
- Zobacz Set-ADUser (Active Directory)
- Wymagania dotyczące zasad haseł
- Tworzenie kont w lokalizacji jednostki organizacyjnej, które gwarantuje, że tylko niektórzy użytkownicy będą nim zarządzać
- Skonfiguruj i zbierz inspekcję, która wykrywa zmiany konta usługi:
- Zobacz, Przeprowadź inspekcję zmian usługi katalogowej i
- Przejdź do manageengine.com, aby dowiedzieć się, jak przeprowadzać inspekcję zdarzeń uwierzytelniania Kerberos w usłudze AD
- Udziel dostępu do konta bezpieczniejszym przed przejściem do środowiska produkcyjnego
Przeglądy kont usług
Zaplanuj regularne przeglądy kont usług, zwłaszcza te sklasyfikowane średnio i wysokie ryzyko. Przeglądy mogą obejmować:
- Zaświadczanie właściciela o potrzebie konta z uzasadnieniem uprawnień i zakresów
- Przeglądy zespołów ds. ochrony prywatności i zabezpieczeń obejmujące zależności nadrzędne i podrzędne
- Przegląd danych inspekcji
- Upewnij się, że konto jest używane do określonego celu
Anulowanie aprowizacji kont usług
Anulowanie aprowizacji kont usług w następujących momentach:
- Wycofanie skryptu lub aplikacji, dla której utworzono konto usługi
- Wycofanie skryptu lub funkcji aplikacji, dla której użyto konta usługi
- Wymiana konta usługi dla innego
Aby usunąć aprowizę:
- Usuń uprawnienia i monitorowanie.
- Sprawdź logowania i dostęp do zasobów powiązanych kont usług, aby upewnić się, że nie ma na nich potencjalnego wpływu.
- Uniemożliwiaj logowanie się do konta.
- Upewnij się, że konto nie jest już potrzebne (nie ma skargi).
- Utwórz zasady biznesowe, które określają czas wyłączenia kont.
- Usuń konto usługi.
- MsAs — zobacz Uninstall-ADServiceAccount
- Używanie programu PowerShell lub ręczne usuwanie go z kontenera konta usługi zarządzanej
- Konta komputerów lub użytkowników — ręcznie usuń konto z usługi Active Directory
Następne kroki
Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz następujące artykuły: