Zabezpieczanie kont usług opartych na użytkownikach w usłudze Active Directory
Lokalne konta użytkowników były tradycyjnym podejściem do zabezpieczania usług działających w systemie Windows. Obecnie użyj tych kont, jeśli konta usług zarządzanych przez grupę (gMSA) i autonomiczne zarządzane konta usług (sMSA) nie są obsługiwane przez usługę. Aby uzyskać informacje o typie konta do użycia, zobacz Zabezpieczanie lokalnych kont usług.
Możesz zbadać przeniesienie usługi za pomocą konta usługi platformy Azure, takiego jak tożsamość zarządzana lub jednostka usługi.
Więcej informacji:
- Co to są tożsamości zarządzane dla zasobów platformy Azure?
- Zabezpieczanie jednostek usługi w identyfikatorze Entra firmy Microsoft
Możesz utworzyć lokalne konta użytkowników w celu zapewnienia zabezpieczeń usług i uprawnień, których konta używają do uzyskiwania dostępu do zasobów lokalnych i sieciowych. Lokalne konta użytkowników wymagają ręcznego zarządzania hasłami, takich jak inne konta użytkowników usługi Active Directory (AD). Administratorzy usługi i domeny muszą utrzymywać silne procesy zarządzania hasłami, aby zapewnić bezpieczeństwo kont.
Podczas tworzenia konta użytkownika jako konta usługi użyj go dla jednej usługi. Użyj konwencji nazewnictwa, która wyjaśnia, że jest kontem usługi i usługą, z którą jest powiązana.
Korzyści oraz wyzwania
Lokalne konta użytkowników są uniwersalnym typem konta. Konta użytkowników używane jako konta usług są kontrolowane przez zasady zarządzające kontami użytkowników. Użyj ich, jeśli nie możesz użyć usługi MSA. Oceń, czy konto komputera jest lepszym rozwiązaniem.
Wyzwania związane z lokalnymi kontami użytkowników zostały podsumowane w poniższej tabeli:
| Wyzwanie | Czynności zapobiegawcze |
|---|---|
| Zarządzanie hasłami jest ręczne i prowadzi do słabszego przestoju zabezpieczeń i usługi | — Zapewnienie regularnej złożoności hasła i zmian w procesie, który utrzymuje silne hasła — koordynowanie zmian haseł przy użyciu hasła usługi, co pomaga zmniejszyć czas przestoju usługi |
| Identyfikowanie lokalnych kont użytkowników, które są kontami usług, może być trudne | — Dokumentowanie kont usług wdrożonych w środowisku — śledzenie nazwy konta i zasobów, do których mogą uzyskiwać dostęp — rozważ dodanie prefiksu svc do kont użytkowników używanych jako konta usług |
Znajdowanie lokalnych kont użytkowników używanych jako konta usług
Lokalne konta użytkowników są podobne do innych kont użytkowników usługi AD. Znalezienie kont może być trudne, ponieważ żaden atrybut konta użytkownika nie identyfikuje go jako konta usługi. Zalecamy utworzenie konwencji nazewnictwa dla kont użytkowników używanych jako konta usług. Na przykład dodaj prefiks svc do nazwy usługi: svc-HRData Połączenie or.
Użyj niektórych z poniższych kryteriów, aby znaleźć konta usług. Jednak takie podejście może nie znajdować kont:
- Zaufane do delegowania
- Z nazwami główną usługi
- Z hasłami, które nigdy nie wygasają
Aby znaleźć lokalne konta użytkowników używane dla usług, uruchom następujące polecenia programu PowerShell:
Aby znaleźć konta zaufane dla delegowania:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Aby znaleźć konta z nazwami głównymi usługi:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Aby znaleźć konta z hasłami, które nigdy nie wygasają:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Dostęp do poufnych zasobów można przeprowadzać inspekcję oraz archiwizować dzienniki inspekcji w systemie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Korzystając z usługi Azure Log Analytics lub Microsoft Sentinel, możesz wyszukiwać i analizować konta usług.
Ocena zabezpieczeń konta użytkownika lokalnego
Użyj następujących kryteriów, aby ocenić zabezpieczenia lokalnych kont użytkowników używanych jako konta usług:
- Zasady zarządzania hasłami
- Konta z członkostwem w grupach uprzywilejowanych
- Uprawnienia do odczytu/zapisu dla ważnych zasobów
Eliminowanie potencjalnych problemów z zabezpieczeniami
W poniższej tabeli przedstawiono potencjalne problemy z zabezpieczeniami konta użytkownika lokalnego i ich środki zaradcze:
| Problem z zabezpieczeniami | Czynności zapobiegawcze |
|---|---|
| Zarządzanie hasłami | — Upewnij się, że złożoność hasła i zmiana hasła podlegają regularnym aktualizacjom i silnym wymaganiom w zakresie haseł — koordynowanie zmian haseł przy użyciu aktualizacji hasła w celu zminimalizowania przestojów usługi |
| Konto jest członkiem uprzywilejowanych grup | — Przeglądanie członkostwa w grupie — usuwanie konta z uprzywilejowanych grup — udzielanie uprawnień i praw konta do uruchamiania usługi (skontaktuj się z dostawcą usługi) — na przykład odmowa logowania lokalnego lub interaktywnego logowania |
| Konto ma uprawnienia do odczytu/zapisu do poufnych zasobów | — Inspekcja dostępu do poufnych zasobów — Archiwizowanie dzienników inspekcji w rozwiązaniu SIEM: Azure Log Analytics lub Microsoft Sentinel — Korygowanie uprawnień zasobów w przypadku wykrycia niepożądanych poziomów dostępu |
Typy bezpiecznych kont
Firma Microsoft nie zaleca używania lokalnych kont użytkowników jako kont usług. W przypadku usług korzystających z tego typu konta należy ocenić, czy można go skonfigurować do używania konta zarządzanego przez usługę lub usługi sMSA. Ponadto oceń, czy możesz przenieść usługę na platformę Azure, aby umożliwić korzystanie z bezpieczniejszych typów kont.
Następne kroki
Aby dowiedzieć się więcej na temat zabezpieczania kont usług: