Styra lokala tjänstkonton
Active Directory erbjuder fyra typer av lokala tjänstkonton:
- Grupphanterade tjänstkonton (gMSAs)
- Fristående hanterade tjänstkonton (sMSAs)
- Lokala datorkonton
- Användarkonton som fungerar som tjänstkonton
En del av styrningen av tjänstkontot omfattar:
- Skydda dem, baserat på krav och syfte
- Hantera kontolivscykeln och deras autentiseringsuppgifter
- Utvärdera tjänstkonton baserat på risk och behörigheter
- Se till att Active Directory (AD) och Microsoft Entra ID inte har några oanvända tjänstkonton med behörigheter
Principer för nytt tjänstkonto
När du skapar tjänstkonton bör du överväga informationen i följande tabell.
| Princip | Att tänka på |
|---|---|
| Mappning av tjänstkonto | Anslut tjänstkontot till en tjänst, ett program eller ett skript |
| Ägarskap | Se till att det finns en kontoägare som begär och tar ansvar |
| Omfattning | Definiera omfånget och förutse användningstiden |
| Syfte | Skapa tjänstkonton för ett syfte |
| Behörigheter | Tillämpa principen om minsta behörighet: – Tilldela inte behörigheter till inbyggda grupper, till exempel administratörer – Ta bort behörigheter för lokala datorer, där det är möjligt – Skräddarsy åtkomst och använd AD-delegering för katalogåtkomst – Använd detaljerade åtkomstbehörigheter – Ange kontoförfallodatum och platsbegränsningar för användarbaserade tjänstkonton |
| Övervaka och granska användning | – Övervaka inloggningsdata och se till att de matchar den avsedda användningen – Ange aviseringar för avvikande användning |
Begränsningar för användarkonton
Använd följande inställningar för användarkonton som används som tjänstkonton:
- Förfallodatum för kontot – ange att tjänstkontot ska upphöra att gälla automatiskt efter granskningsperioden, såvida inte kontot kan fortsätta
- Inloggningsstationer – begränsa inloggningsbehörigheter för tjänstkonto
- Om den körs lokalt och får åtkomst till resurser på datorn kan du begränsa den från att logga in någon annanstans
- Det går inte att ändra lösenord – ange parametern till true för att förhindra att tjänstkontot ändrar sitt eget lösenord
Livscykelhanteringsprocess
För att upprätthålla säkerheten för tjänstkontot kan du hantera dem från start till avaktiv. Använd följande process:
- Samla in information om kontoanvändning.
- Flytta tjänstkontot och appen till konfigurationshanteringsdatabasen (CMDB).
- Utför riskbedömning eller en formell granskning.
- Skapa tjänstkontot och tillämpa begränsningar.
- Schemalägga och utföra återkommande granskningar.
- Justera behörigheter och omfång efter behov.
- Avetablera kontot.
Samla in användningsinformation för tjänstkonto
Samla in relevant information för varje tjänstkonto. I följande tabell visas den minsta information som ska samlas in. Hämta det som behövs för att verifiera varje konto.
| Data | beskrivning |
|---|---|
| Ägare | Den användare eller grupp som ansvarar för tjänstkontot |
| Syfte | Syftet med tjänstkontot |
| Behörigheter (omfång) | De förväntade behörigheterna |
| CMDB-länkar | Korslänktjänstkontot med målskriptet eller programmet och ägare |
| Risk | Resultatet av en säkerhetsriskbedömning |
| Livstid | Den förväntade maximala livslängden för att schemalägga kontoförfallodatum eller omcertifiering |
Gör kontobegäran självbetjäning och kräva relevant information. Ägaren är ett program eller en företagsägare, en IT-teammedlem eller en infrastrukturägare. Du kan använda Microsoft Forms för begäranden och tillhörande information. Om kontot har godkänts använder du Microsoft Forms för att portera det till ett cmdb-inventeringsverktyg (Configuration Management Databases).
Tjänstkonton och CMDB
Lagra den insamlade informationen i ett CMDB-program. Inkludera beroenden för infrastruktur, appar och processer. Använd den här centrala lagringsplatsen för att:
- Utvärdera risker
- Konfigurera tjänstkontot med begränsningar
- Fastställa funktions- och säkerhetsberoenden
- Genomför regelbundna granskningar för säkerhet och fortsatt behov
- Kontakta ägaren för att granska, dra tillbaka och ändra tjänstkontot
Exempel på HR-scenario
Ett exempel är ett tjänstkonto som kör en webbplats med behörighet att ansluta till SQL-databaser för personalfrågor. Informationen i tjänstkontots CMDB, inklusive exempel, finns i följande tabell:
| Data | Exempel |
|---|---|
| Ägare, ställföreträdare | Namn, namn |
| Syfte | Kör HR-webbsidan och anslut till HR-databaser. Personifiera slutanvändare vid åtkomst till databaser. |
| Behörigheter, omfång | HR-WEBServer: logga in lokalt; kör webbsida HR-SQL1: logga in lokalt; läsbehörigheter för HR-databaser HR-SQL2: logga in lokalt; läsbehörigheter endast för lönedatabasen |
| Kostnadsställe | 123456 |
| Riskbedös | Medium; Affärspåverkan: Medel; privat information. Medium |
| Kontobegränsningar | Logga in på: endast ovan nämnda servrar; Det går inte att ändra lösenord. MBI-lösenordsprincip; |
| Livstid | Obegränsat |
| Granskningscykel | Halvårsvis: Efter ägare, säkerhetsteam eller sekretessteam |
Riskbedömningar av tjänstkonton eller formella granskningar
Om ditt konto komprometteras av en obehörig källa ska du utvärdera riskerna för associerade program, tjänster och infrastruktur. Överväg direkta och indirekta risker:
- Resurser som en obehörig användare kan få åtkomst till
- Annan information eller andra system som tjänstkontot kan komma åt
- Behörigheter som kontot kan bevilja
- Indikationer eller signaler när behörigheterna ändras
Efter riskbedömningen visar dokumentationen sannolikt att risker påverkar kontot:
- Begränsningar
- Livstid
- Granska krav
- Kadens och granskare
Skapa ett tjänstkonto och tillämpa kontobegränsningar
Kommentar
Skapa ett tjänstkonto efter riskbedömningen och dokumentera resultaten i en CMDB. Justera kontobegränsningar med riskbedömningsresultat.
Tänk på följande begränsningar, även om vissa kanske inte är relevanta för din utvärdering.
- För användarkonton som används som tjänstkonton definierar du ett realistiskt slutdatum
- Använd flaggan Förfallodatum för konto för att ange datumet
- Läs mer: Set-ADAccountExpiration
- Se Set-ADUser (Active Directory)
- Krav för lösenordsprinciper
- Skapa konton på en organisationsenhetsplats som ser till att endast vissa användare hanterar det
- Se Delegera administration av konto-OUs och resurs-OUs
- Konfigurera och samla in granskning som identifierar ändringar i tjänstkontot:
- Se Granska katalogtjänständringar och
- Gå till manageengine.com för Så här granskar du Kerberos-autentiseringshändelser i AD
- Bevilja kontoåtkomst på ett säkrare sätt innan det går till produktion
Granskningar av tjänstkonto
Schemalägg granskningar av regelbundna tjänstkonton, särskilt de som klassificeras som Medelhög och Hög risk. Recensioner kan vara:
- Ägarattestering av behovet av kontot, med motivering av behörigheter och omfång
- Sekretess- och säkerhetsteamgranskningar som omfattar uppströms- och nedströmsberoenden
- Granska datagranskning
- Se till att kontot används för sitt angivna syfte
Avetablera tjänstkonton
Avetablera tjänstkonton vid följande tidpunkter:
- Tillbakadragning av skriptet eller programmet som tjänstkontot skapades för
- Tillbakadragning av skriptet eller programfunktionen, för vilken tjänstkontot användes
- Ersättning av tjänstkontot för en annan
Så här avetabler du:
- Ta bort behörigheter och övervakning.
- Granska inloggningar och resursåtkomst för relaterade tjänstkonton för att säkerställa att de inte påverkas.
- Förhindra kontoinloggning.
- Kontrollera att kontot inte längre behövs (det finns inget klagomål).
- Skapa en affärsprincip som avgör hur lång tid konton är inaktiverade.
- Ta bort tjänstkontot.
- MSAs – se Uninstall-ADServiceAccount
- Använd PowerShell eller ta bort det manuellt från containern för det hanterade tjänstkontot
- Dator- eller användarkonton – ta bort kontot manuellt från Active Directory
Nästa steg
Mer information om hur du skyddar tjänstkonton finns i följande artiklar: