Поделиться через


Управление локальными учетными записями служб

Active Directory предлагает четыре типа локальных учетных записей служб:

Часть управления учетной записью службы включает в себя:

  • Защита их в зависимости от требований и цели
  • Управление жизненным циклом учетных записей и их данных для входа
  • Оценка учетных записей служб на основе рисков и разрешений
  • Проверка отсутствия неиспользуемых учетных записей служб Active Directory (AD) и Microsoft Entra ID с соответствующими разрешениями.

Принципы новой служебной учетной записи

При создании учетных записей служб рассмотрите сведения в следующей таблице.

Принцип Рассмотрение
Сопоставление учетных записей службы Подключение учетной записи службы к службе, приложению или скрипту
Собственность Убедитесь, что владелец учетной записи запрашивает и берет на себя ответственность
Область действия Определение области и прогнозирование длительности использования
Цель Создание учетных записей служб для одной цели
Разрешения Примените принцип наименьшего разрешения:
- Не назначайте разрешения встроенным группам, таким как администраторы
- Удаляйте разрешения на уровне локального компьютера, по возможности
- Настраивайте доступ и используйте делегирование AD для доступа к каталогам
- Используйте детализированные разрешения доступа
- Устанавливайте ограничения срока действия и местоположения для пользовательских учетных записей служб
Мониторинг и использование аудита — Отслеживайте данные входа и убедитесь, что оно соответствует предполагаемому использованию
. Настройка оповещений об аномальном использовании

Ограничения учетной записи пользователя

Для учетных записей пользователей, используемых в качестве учетных записей служб, примените следующие параметры:

  • Истечение срока действия учетной записи — установите, чтобы учетная запись службы автоматически истекала после ее периода проверки, если не будет принято решение о продлении.
  • LogonWorkstations — ограничение разрешений на вход учетной записи службы
    • Если программа выполняется локально и получает доступ к ресурсам на компьютере, ограничьте её возможность входа с других устройств.
  • Не удается изменить пароль . Задайте для параметра значение true , чтобы предотвратить изменение учетной записи службы собственного пароля.

Процесс управления жизненным циклом

Чтобы обеспечить безопасность учетной записи службы, управляйте ими с момента создания до вывода из эксплуатации. Используйте следующий процесс:

  1. Сбор сведений об использовании учетной записи.
  2. Переместите учетную запись службы и приложение в базу данных управления конфигурацией (CMDB).
  3. Выполните оценку рисков или официальную проверку.
  4. Создайте учетную запись службы и примените ограничения.
  5. Планирование и выполнение повторяющихся проверок.
  6. При необходимости настройте разрешения и области действия.
  7. Отключение учетной записи.

Сбор сведений об использовании учетной записи службы

Сбор соответствующих сведений для каждой учетной записи службы. В следующей таблице перечислены минимальные сведения для сбора. Получите необходимые сведения для проверки каждой учетной записи.

Данные Описание
Владелец Ответственный пользователь или группа за учетную запись службы
Цель Назначение учетной записи службы
Разрешения (области) Ожидаемые разрешения
Ссылки CMDB Учетная запись службы перекрестной связи с целевым скриптом или приложением и их владельцами
Риск Результаты оценки рисков безопасности
Продолжительность жизни Ожидаемая максимальная продолжительность для установления срока истечения учетной записи или повторной сертификации

Сделайте запрос учетной записи доступным для самостоятельного выполнения и запросите соответствующую информацию. Владелец — это приложение или владелец бизнеса, ит-член группы или владелец инфраструктуры. Microsoft Forms можно использовать для запросов и связанных сведений. Если учетная запись утверждена, используйте Microsoft Forms, чтобы перенести ее в средство инвентаризации баз данных управления конфигурацией (CMDB).

Учетные записи служб и CMDB

Храните собранные сведения в приложении CMDB. Включите зависимости от инфраструктуры, приложений и процессов. Используйте этот центральный репозиторий для:

  • Оценка риска
  • Настройка учетной записи службы с ограничениями
  • Определение функциональных и аспектов безопасности зависимостей
  • Проведение регулярных проверок безопасности и продолжающейся необходимости
  • Обратитесь к владельцу, чтобы просмотреть, отключить и изменить аккаунт сервиса.

Пример сценария управления персоналом

Примером является учетная запись службы, которая запускает веб-сайт с разрешениями на подключение к базам данных SQL Human Resources. Сведения в CMDB учетной записи службы, включая примеры, приведены в следующей таблице:

Данные Пример
Владелец, заместитель Имя, Имя
Цель Запустите веб-страницу отдела кадров и подключитесь к базам данных отдела кадров. Имитировать конечных пользователей при доступе к базам данных.
Разрешения, области HR-WEBServer: войдите локально; откройте веб-страницу
HR-SQL1: войдите локально; разрешения на чтение для баз данных отдела кадров
HR-SQL2: войдите локально; Разрешения на чтение только для базы данных "Зарплата"
Центр затрат 123456
Оценка риска Средний; Влияние на бизнес: Средний; частная информация; Средний
Ограничения учетных записей Войдите на: только упомянутые выше серверы; Невозможно изменить пароль; правило MBI-Password;
Продолжительность жизни Неограниченный
Цикл проверки Ежегодно два раза: владельцем, командой безопасности или командой конфиденциальности

Оценки рисков служебных учетных записей или официальные проверки

Если ваша учетная запись скомпрометирована несанкционированным источником, оцените риски для связанных приложений, служб и инфраструктуры. Рассмотрите прямые и косвенные риски:

  • Ресурсы, к которым неавторизованный пользователь может получить доступ
    • Другие сведения или системы, к которым учетная запись службы может получить доступ
  • Разрешения, которые может предоставить учетная запись
    • Признаки или сигналы при изменении разрешений

После оценки риска документация, вероятно, показывает, что риски влияют на учетную запись:

  • Ограничения
  • Продолжительность жизни
  • Проверка требований
    • Каденс и рецензенты

Создание учетной записи службы и применение ограничений учетной записи

Замечание

Создайте учетную запись службы после оценки рисков и задокументируйте результаты в CMDB. Выравнивание ограничений учетной записи с результатами оценки рисков.

Рассмотрим следующие ограничения, хотя некоторые могут не иметь отношения к оценке.

Рецензирование учетных записей службы

Назначьте регулярные проверки учетных записей служб, особенно тех, которые классифицированы как средний и высокий риск. Проверки могут включать:

  • Подтверждение владельцем необходимости использования учетной записи с обоснованием разрешений и объемов полномочий.
  • Проверки конфиденциальности и безопасности группы, включающих входящие и выходящие зависимости.
  • Проверка данных аудита
  • Убедитесь, что учетная запись используется для ее указанной цели

Отмена предоставления учетных записей служб

Удаление сервисных аккаунтов в следующие моменты:

  • Прекращение использования скрипта или приложения, для которого была создана учетная запись службы
  • Прекращение использования скрипта или функции приложения, для которой использовалась учетная запись службы
  • Замена учетной записи службы на другую

Чтобы отменить подготовку, выполните следующие действия.

  1. Удалите разрешения и мониторинг.
  2. Проверьте входы и доступ к ресурсам связанных учетных записей служб, чтобы гарантировать отсутствие потенциального влияния на них.
  3. Запрет входа в учетную запись.
  4. Убедитесь, что учетная запись больше не нужна (нет жалобы).
  5. Создайте бизнес-политику, которая определяет время отключения учетных записей.
  6. Удалите учетную запись службы.
  • MSAs — см. Uninstall-ADServiceAccount
    • Использование PowerShell или удаление его вручную из контейнера управляемой учетной записи службы
  • Учетные записи компьютеров или пользователей — вручную удалите учетную запись из Active Directory

Дальнейшие шаги

Дополнительные сведения о защите учетных записей служб см. в следующих статьях: