Proteger contas de serviço baseadas no usuário no Ative Directory
As contas de usuário locais eram a abordagem tradicional para ajudar a proteger os serviços executados no Windows. Hoje, use essas contas se as contas de serviço gerenciado de grupo (gMSAs) e as contas de serviço gerenciado autônomas (sMSAs) não forem suportadas pelo seu serviço. Para obter informações sobre o tipo de conta a ser usado, consulte Protegendo contas de serviço locais.
Você pode investigar a movimentação do serviço para uma conta de serviço do Azure, como uma identidade gerenciada ou uma entidade de serviço.
Saiba mais:
- O que são identidades gerenciadas para recursos do Azure?
- Protegendo entidades de serviço no Microsoft Entra ID
Você pode criar contas de usuário locais para fornecer segurança para serviços e permissões que as contas usam para acessar recursos locais e de rede. As contas de usuário locais exigem gerenciamento manual de senhas, como outras contas de usuário do Ative Directory (AD). Os administradores de serviço e de domínio são obrigados a manter processos de gerenciamento de senhas fortes para ajudar a manter as contas seguras.
Ao criar uma conta de usuário como uma conta de serviço, use-a para um serviço. Use uma convenção de nomenclatura que esclareça que é uma conta de serviço e o serviço ao qual está relacionada.
Benefícios e desafios
As contas de usuário locais são um tipo de conta versátil. As contas de usuário usadas como contas de serviço são controladas por políticas que regem as contas de usuário. Use-os se não puder usar um MSA. Avalie se uma conta de computador é uma opção melhor.
Os desafios das contas de usuário locais são resumidos na tabela a seguir:
| Desafio | Mitigação |
|---|---|
| O gerenciamento de senhas é manual e leva a segurança mais fraca e tempo de inatividade do serviço | - Garantir a complexidade regular da senha e que as alterações sejam regidas por um processo que mantenha senhas fortes - Coordenar alterações de senha com uma senha de serviço, o que ajuda a reduzir o tempo de inatividade do serviço |
| Identificar contas de usuário locais que são contas de serviço pode ser difícil | - Documentar contas de serviço implantadas em seu ambiente - Acompanhe o nome da conta e os recursos que eles podem acessar - Considere adicionar o prefixo svc às contas de usuário usadas como contas de serviço |
Localizar contas de usuário locais usadas como contas de serviço
As contas de usuário locais são como outras contas de usuário do AD. Pode ser difícil encontrar as contas, porque nenhum atributo de conta de usuário a identifica como uma conta de serviço. Recomendamos que você crie uma convenção de nomenclatura para contas de usuário usadas como contas de serviço. Por exemplo, adicione o prefixo svc a um nome de serviço: svc-HRDataConnector.
Use alguns dos seguintes critérios para localizar contas de serviço. No entanto, essa abordagem pode não encontrar contas:
- Confiável para delegação
- Com nomes de entidade de serviço
- Com palavras-passe que nunca expiram
Para localizar as contas de usuário locais usadas para serviços, execute os seguintes comandos do PowerShell:
Para encontrar contas confiáveis para delegação:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Para encontrar contas com nomes de entidade de serviço:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Para encontrar contas com palavras-passe que nunca expiram:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
Você pode auditar o acesso a recursos confidenciais e arquivar logs de auditoria em um sistema de gerenciamento de eventos e informações de segurança (SIEM). Usando o Azure Log Analytics ou o Microsoft Sentinel, você pode pesquisar e analisar contas de serviço.
Avaliar a segurança da conta de usuário local
Use os seguintes critérios para avaliar a segurança das contas de usuário locais usadas como contas de serviço:
- Política de gestão de palavras-passe
- Contas com associação em grupos privilegiados
- Permissões de leitura/gravação para recursos importantes
Atenue possíveis problemas de segurança
Consulte a tabela a seguir para obter possíveis problemas de segurança da conta de usuário local e suas atenuações:
| Questão de segurança | Mitigação |
|---|---|
| Gestão de palavras-passe | - Garantir que a complexidade da senha e a alteração da senha sejam regidas por atualizações regulares e requisitos de senha forte - Coordenar alterações de senha com uma atualização de senha para minimizar o tempo de inatividade do serviço |
| A conta é membro de grupos privilegiados | - Rever a participação no grupo - Remover a conta de grupos privilegiados - Conceder os direitos e permissões da conta para executar o seu serviço (consulte o fornecedor do serviço) - Por exemplo, negar o início de sessão localmente ou o início de sessão interativo |
| A conta tem permissões de leitura/gravação para recursos confidenciais | - Auditar o acesso a recursos sensíveis - Arquivar logs de auditoria em um SIEM: Azure Log Analytics ou Microsoft Sentinel - Corrija as permissões de recursos se detetar níveis de acesso indesejáveis |
Tipos de conta segura
A Microsoft não recomenda o uso de contas de usuário locais como contas de serviço. Para serviços que usam esse tipo de conta, avalie se ele pode ser configurado para usar um gMSA ou um sMSA. Além disso, avalie se você pode mover o serviço para o Azure para habilitar o uso de tipos de conta mais seguros.
Próximos passos
Para saber mais sobre como proteger contas de serviço: