Administrar contas de serviço locais
O Active Directory oferece quatro tipos de contas de serviço locais:
- Contas de serviços gerenciadas por grupo (gMSAs)
- Contas de serviço gerenciadas autônomas (sMSAs)
- Proteger contas de computador locais
- Contas de usuário funcionando como contas de serviço
Parte da governança da conta de serviço inclui:
- Protegê-las com base em requisitos e finalidade
- Gerenciar o ciclo de vida da conta e suas credenciais
- Avaliar contas de serviço, com base em riscos e permissões
- Garantir que o AD (Active Directory) e o Microsoft Entra ID não tenham contas de serviço não utilizados, com permissões
Novos princípios da conta de serviço
Ao criar contas de serviço, considere as informações na tabela a seguir.
Princípio | Consideração |
---|---|
Mapeamento de conta de serviço | Conecte a conta de serviço a um serviço, aplicativo ou script |
Propriedade | Verifique se há um proprietário que solicita e assume a responsabilidade pela conta |
Escopo | Defina o escopo e preveja a duração de uso |
Finalidade | Criar contas de serviço para uma finalidade |
Permissões | Aplicar o princípio de permissão mínima: - Não atribua permissões a grupos internos, como administradores - Remova as permissões do computador local, sempre que possível - Personalize o acesso e use a delegação do AD para acesso ao diretório - Use permissões de acesso granulares - Defina restrições de expiração e localização nas contas de serviço com base no usuário |
Monitorar e auditar uso | - Monitore os dados de entrada e verifique se eles correspondem ao uso pretendido - Defina alertas de uso anômalo |
Restrições da conta de usuário
Para contas de usuário que são usadas como contas de serviço, aplique as seguintes configurações:
- Expiração da conta: defina a conta de serviço para expirar automaticamente, após o período de revisão, a menos que a conta possa continuar
- LogonWorkstations: restringir permissões de entrada da conta de serviço
- Se for executada localmente em um computador e acessar apenas os recursos nesse computador, restrinja-a para que não se conecte em qualquer outro lugar
- Não é possível alterar a senha: defina o parâmetro para verdadeira para evitar que a conta de serviço altere sua própria senha
Processo de gerenciamento do ciclo de vida
Para ajudar a manter a segurança da conta de serviço, gerencie-as desde o início até o encerramento. Use este processo:
- Coletar informações de uso da conta.
- Mover a conta de serviço e o aplicativo ao banco de dados de gerenciamento de configuração (CMDB).
- Executar avaliação de risco ou uma revisão formal.
- Criar a conta de serviço e aplicar restrições.
- Agendar e executar revisões recorrentes.
- Ajuste as permissões e os escopos conforme necessário.
- Desprovisione a conta.
Coletar informações de uso da conta de serviço
Coletar informações comerciais relevantes para cada conta de serviço. A tabela a seguir lista as informações mínimas a serem coletadas. Obtenha o que é necessário para validar cada conta.
Dados | Descrição |
---|---|
Proprietário | O usuário ou grupo que é responsável pela conta de serviço |
Finalidade | A finalidade da conta de serviço |
Permissões (escopos) | As permissões esperadas |
Links do CMDB | A conta de serviço de vínculo cruzado com o script ou aplicativo de destino e proprietários |
Risco | Os resultados de uma avaliação de risco de segurança |
Tempo de vida | Tempo de vida máximo previsto para habilitar o agendamento da expiração ou da nova certificação da conta |
O ideal é fazer a solicitação para um autoatendimento de conta e exigir as informações relevantes. O proprietário pode ser um aplicativo ou proprietário de negócios, um membro de TI ou um proprietário de infraestrutura. Você pode usar o Microsoft Forms para solicitações e informações associadas. Se a conta for aprovada, use o Microsoft Forms para portá-la para uma ferramenta de inventário de bancos de dados de gerenciamento de configuração (CMDB).
Contas de serviço e CMDB
Armazene as informações coletadas em um aplicativo CMDB. Inclua dependências em infraestrutura, aplicativos e processos. Use este repositório central para:
- Avaliação do risco
- Configuração da conta de serviço com as restrições necessárias
- Verificação de dependências funcionais e de segurança
- Condução de revisões regulares para segurança e necessidade contínua
- Contatar o proprietário para examinar, desativar e alterar a conta de serviço
Exemplo de cenário de RH
Um exemplo é uma conta de serviço que executa um site com permissões para se conectar a bancos de dados SQL de Recursos Humanos. As informações no CMDB da conta de serviço, incluindo exemplos, estão na tabela a seguir:
Dados | Exemplo |
---|---|
Proprietário, Substituto | Nome, Nome |
Finalidade | Executar a página da Web de RH e conectar-se aos bancos de dados de HR. Representar usuários finais ao acessar bancos de dados. |
Permissões, escopos | HR-WEBServer: entrar localmente; executar página da Web HR-SQL1: entrar localmente; permissões de leitura em todos os bancos de dados de RH HR-SQL2: entrar localmente; permissões de leitura somente no banco de dados salarial |
Centro de custo | 123456 |
Risco avaliado | Médio; Impacto nos negócios: Médio; informações particulares; Médio |
Restrições de conta | Fazer logon em: somente servidores mencionados anteriormente; Não é possível alterar a senha; Política de Senha MBI; |
Tempo de vida | Irrestrito |
Ciclo de revisão | Semestral: por proprietário, equipe de segurança ou equipe de privacidade |
Avaliações de risco da conta de serviço ou revisões formais
Se sua conta for comprometida por uma fonte não autorizada, avalie os riscos para aplicativos, serviços e infraestrutura associados. Considere os riscos direto e indireto:
- Recursos aos quais um usuário não autorizado pode obter acesso
- Outras informações ou sistemas que a conta de serviço pode acessar
- Permissões que a conta pode conceder
- Indicações ou sinais quando as permissões são alteradas
Após a avaliação de risco, a documentação provavelmente mostra que os riscos afetam a conta:
- Restrições
- Tempo de vida
- Examinar os requisitos
- Cadência e revisores
Criar uma conta de serviço e aplicar restrições de conta
Observação
Criar uma conta de serviço após a avaliação de risco e documentar as conclusões em um CMDB. Alinhar as restrições de conta com as conclusões da avaliação de risco.
Considere as restrições a seguir, embora algumas possam não ser relevantes para sua avaliação.
- Para todas as contas de usuário usadas como contas de serviço, defina uma data de término realista e definitiva para uso
- Use o sinalizador Conta Expira para definir a data
- Saiba mais: Set-ADAccountExpiration
- Confira, Set-ADUser (Active Directory)
- Requisitos da política de senha
- Criar contas em um local de unidade organizacional que garanta que apenas alguns usuários a gerenciem
- Configure e colete auditorias que detectem alterações na conta de serviço:
- Confira Auditoria de Alterações no Serviço do Diretório e
- Acesse manageengine.com para saber Como auditar os eventos da autenticação Kerberos no AD
- Conceder acesso à conta com mais segurança antes de entrar em produção
Revisões da conta de serviço
Agende revisões regulares da conta de serviço, especialmente aquelas classificadas como de Médio e Alto Risco. As revisões podem incluir:
- Atestado do proprietário para a necessidade contínua da conta e uma justificativa de permissões e escopos
- Revisões da equipe de privacidade e segurança que incluem dependências upstream e downstream
- Revisão de dados de auditoria
- Verifique se a conta é usada para sua finalidade declarada
Desprovisionar contas de serviço
Desprovisionar contas de serviço nas seguintes conjunturas:
- Desativação do script ou aplicativo para o qual a conta de serviço foi criada
- Desativação do script ou da função de aplicativo, para a qual a conta de serviço foi usada
- Substituição da conta de serviço por outra
Para desprovisionar:
- Remova permissões e monitoramento.
- Examine as entradas e o acesso a recursos de contas de serviço relacionadas para garantir que não haja nenhum efeito potencial sobre elas.
- Impeça a entrada na conta.
- Verifique se a conta não é mais necessária (que não há reclamação).
- Crie uma política de negócios que determine a quantidade de tempo em que as contas estão desabilitadas.
- Exclua a conta de serviço.
- MSAs - confira Uninstall-ADServiceAccount
- Use o PowerShell ou exclua-o manualmente do contêiner da conta de serviço gerenciada
- Contas de computador ou usuário: exclua manualmente a conta do Active Directory
Próximas etapas
Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos: