Controlar contas de serviço locais
O Ative Directory oferece quatro tipos de contas de serviço locais:
- Contas de serviço gerenciadas por grupo (gMSAs)
- Contas de serviço gerenciadas autônomas (sMSAs)
- Contas de computador local
- Contas de utilizador que funcionam como contas de serviço
Parte da governança da conta de serviço inclui:
- Protegê-los, com base nos requisitos e na finalidade
- Gerenciando o ciclo de vida da conta e suas credenciais
- Avaliação de contas de serviço, com base em riscos e permissões
- Garantir que o Ative Directory (AD) e o Microsoft Entra ID não tenham contas de serviço não utilizadas, com permissões
Novos princípios da conta de serviço
Ao criar contas de serviço, considere as informações na tabela a seguir.
| Princípio | Consideração |
|---|---|
| Mapeamento de conta de serviço | Conectar a conta de serviço a um serviço, aplicativo ou script |
| Propriedade | Certifique-se de que há um proprietário da conta que solicita e assume a responsabilidade |
| Âmbito | Definir o escopo e antecipar a duração do uso |
| Objetivo | Criar contas de serviço para uma finalidade |
| Permissões | Aplique o princípio da mínima permissão: - Não atribua permissões a grupos internos, como administradores - Remova as permissões da máquina local, quando viável - Personalize o acesso e use a delegação do AD para acesso ao diretório - Use permissões de acesso granulares - Defina a expiração da conta e restrições de localização em contas de serviço baseadas no usuário |
| Monitorar e auditar o uso | - Monitorize os dados de início de sessão e certifique-se de que correspondem à utilização pretendida - Definir alertas para uso anômalo |
Restrições da conta de utilizador
Para contas de usuário usadas como contas de serviço, aplique as seguintes configurações:
- Expiração da conta - defina a conta de serviço para expirar automaticamente, após o período de revisão, a menos que a conta possa continuar
- LogonWorkstations - restringir permissões de entrada na conta de serviço
- Se ele for executado localmente e acessar recursos na máquina, restrinja-o de entrar em outro lugar
- Can't change password - defina o parâmetro como true para impedir que a conta de serviço altere sua própria senha
Processo de gestão do ciclo de vida
Para ajudar a manter a segurança da conta de serviço, gerencie-a desde o início até a desativação. Use o seguinte processo:
- Colete informações de uso da conta.
- Mova a conta de serviço e o aplicativo para o banco de dados de gerenciamento de configuração (CMDB).
- Realizar uma avaliação de risco ou uma revisão formal.
- Crie a conta de serviço e aplique restrições.
- Agende e realize revisões recorrentes.
- Ajuste as permissões e os escopos conforme necessário.
- Desprovisionar a conta.
Coletar informações de uso da conta de serviço
Colete informações relevantes para cada conta de serviço. A tabela a seguir lista as informações mínimas a serem coletadas. Obtenha o que é necessário para validar cada conta.
| Dados | Description |
|---|---|
| Proprietário | O usuário ou grupo responsável pela conta de serviço |
| Objetivo | A finalidade da conta de serviço |
| Permissões (escopos) | As permissões esperadas |
| Links CMDB | A conta de serviço de ligação cruzada com o script ou aplicação de destino e proprietários |
| Risco | Resultados de uma avaliação dos riscos para a segurança |
| Vitalício | O tempo de vida máximo previsto para agendar a expiração ou recertificação da conta |
Faça com que a conta solicite o autoatendimento e solicite as informações relevantes. O proprietário é um proprietário de aplicativo ou empresa, um membro da equipe de TI ou um proprietário de infraestrutura. Você pode usar o Microsoft Forms para solicitações e informações associadas. Se a conta for aprovada, use o Microsoft Forms para portá-la para uma ferramenta de inventário de bancos de dados de gerenciamento de configuração (CMDB).
Contas de serviço e CMDB
Armazene as informações coletadas em um aplicativo CMDB. Inclua dependências em infraestrutura, aplicativos e processos. Utilize este repositório central para:
- Avaliar o risco
- Configurar a conta de serviço com restrições
- Verificar dependências funcionais e de segurança
- Realizar revisões regulares de segurança e necessidade contínua
- Entre em contato com o proprietário para revisar, desativar e alterar a conta de serviço
Exemplo de cenário de RH
Um exemplo é uma conta de serviço que executa um site com permissões para se conectar a bancos de dados SQL de Recursos Humanos. As informações na conta de serviço CMDB, incluindo exemplos, estão na tabela a seguir:
| Dados | Exemplo |
|---|---|
| Proprietário, Adjunto | Nome, Nome |
| Objetivo | Execute a página da Web de RH e conecte-se a bancos de dados de RH. Represente os usuários finais ao acessar bancos de dados. |
| Permissões, escopos | HR-WEBServer: inicie sessão localmente; Executar página da Web HR-SQL1: inicie sessão localmente; permissões de leitura em bancos de dados de RH HR-SQL2: entre localmente; permissões de leitura somente no banco de dados de salários |
| Centro de custos | 123456 |
| Risco avaliado | Média; Impacto nos Negócios: Médio; informação privada; Média |
| Restrições de conta | Inicie sessão em: apenas os servidores acima mencionados; Não é possível alterar a palavra-passe; MBI-Política de Senhas; |
| Vitalício | Sem restrição |
| Ciclo de revisão | Semestralmente: Por proprietário, equipe de segurança ou equipe de privacidade |
Avaliações de risco da conta de serviço ou revisões formais
Se sua conta for comprometida por uma fonte não autorizada, avalie os riscos para aplicativos, serviços e infraestrutura associados. Considere os riscos diretos e indiretos:
- Recursos aos quais um usuário não autorizado pode ter acesso
- Outras informações ou sistemas que a conta de serviço pode acessar
- Permissões que a conta pode conceder
- Indicações ou sinais quando as permissões mudam
Após a avaliação de riscos, a documentação provavelmente mostra que os riscos afetam a conta:
- Restrições
- Vitalício
- Requisitos de revisão
- Cadência e revisores
Criar uma conta de serviço e aplicar restrições de conta
Nota
Crie uma conta de serviço após a avaliação de risco e documente as descobertas em um CMDB. Alinhe as restrições da conta com as descobertas da avaliação de risco.
Considere as seguintes restrições, embora algumas possam não ser relevantes para a sua avaliação.
- Para contas de usuário usadas como contas de serviço, defina uma data de término realista
- Use o sinalizador Conta expira para definir a data
- Saiba mais: Set-ADAccountExpiration
- Consulte Set-ADUser (Ative Directory)
- Requisitos da política de senha
- Crie contas em um local de unidade organizacional que garanta que apenas alguns usuários irão gerenciá-lo
- Configure e colete auditorias que detetem alterações na conta de serviço:
- Consulte Auditar alterações no serviço de diretório e
- Vá para manageengine.com para Como auditar eventos de autenticação Kerberos no AD
- Conceda acesso à conta com mais segurança antes que ela entre em produção
Avaliações da conta de serviço
Agende revisões regulares de contas de serviço, especialmente aquelas classificadas como de Médio e Alto Risco. As avaliações podem incluir:
- Atestado do proprietário da necessidade da conta, com justificação das permissões e âmbitos
- Análises da equipa de privacidade e segurança que incluem dependências a montante e a jusante
- Revisão dos dados de auditoria
- Certifique-se de que a conta é usada para a finalidade declarada
Desprovisionar contas de serviço
Desprovisionar contas de serviços nos seguintes momentos:
- Desativação do script ou aplicativo para o qual a conta de serviço foi criada
- Desativação da função de script ou aplicativo, para a qual a conta de serviço foi usada
- Substituição da conta de serviço por outra
Para desprovisionar:
- Remova permissões e monitoramento.
- Examine as entradas e o acesso a recursos de contas de serviço relacionadas para garantir que não haja efeito potencial sobre elas.
- Impedir o início de sessão na conta.
- Certifique-se de que a conta não é mais necessária (não há reclamação).
- Crie uma política de negócios que determine a quantidade de tempo que as contas são desabilitadas.
- Exclua a conta de serviço.
- MSAs - consulte, Uninstall-ADServiceAccount
- Use o PowerShell ou exclua-o manualmente do contêiner da conta de serviço gerenciada
- Contas de computador ou de usuário - exclua manualmente a conta do Ative Directory
Próximos passos
Para saber mais sobre como proteger contas de serviço, consulte os seguintes artigos: