Поделиться через

Управление локальными учетными записями служб

  • Статья

Active Directory предлагает четыре типа локальных учетных записей служб.

Часть управления учетной записью службы включает в себя:

  • Защита их на основе требований и целей
  • Управление жизненным циклом учетной записи и их учетными данными
  • Оценка учетных записей служб на основе рисков и разрешений
  • Обеспечение отсутствия неиспользуемых учетных записей служб Active Directory (AD) и идентификатора Microsoft Entra с разрешениями

Новые принципы учетной записи службы

При создании учетных записей служб рассмотрите сведения в следующей таблице.

Принцип Фактор
Сопоставление учетной записи службы Подключение учетную запись службы в службу, приложение или скрипт
Тип собственности Убедитесь, что владелец учетной записи запрашивает и берет на себя ответственность
Область Определение область и прогнозирование длительности использования
Назначение Создание учетных записей служб для одной цели
Разрешения Примените принцип наименьшего разрешения.
Не назначайте разрешения встроенным группам, таким как администраторы
: удаление разрешений локального компьютера, где это возможно
. Настройка доступа и использование делегирования AD для доступа к каталогам . Использование подробных разрешений
на
доступ к каталогам . Установка ограничений срока действия учетной записи и расположения учетных записей служб на основе пользователей
Мониторинг и аудит использования — Отслеживайте данные входа и убедитесь, что оно соответствует предполагаемому использованию
. Настройка оповещений об аномальном использовании

Ограничения учетной записи пользователя

Для учетных записей пользователей, используемых в качестве учетных записей служб, примените следующие параметры:

  • Истечение срока действия учетной записи — установите учетную запись службы автоматически истекает после его периода проверки, если учетная запись не может продолжиться.
  • LogonWorkstations — ограничение разрешений на вход учетной записи службы
    • Если он выполняется локально и получает доступ к ресурсам на компьютере, ограничьте его вход в другое место.
  • Не удается изменить пароль . Задайте для параметра значение true , чтобы предотвратить изменение учетной записи службы собственного пароля.

Процесс управления жизненным циклом

Чтобы обеспечить безопасность учетной записи службы, управляйте ими с момента создания до вывода из эксплуатации. Используйте следующий процесс:

  1. Сбор сведений об использовании учетной записи.
  2. Перенос учетной записи службы и приложения в базу данных управления конфигурацией (CMDB).
  3. Выполнение оценки рисков или формального анализа.
  4. Создание учетной записи службы и применение ограничений.
  5. Планирование и выполнение повторяющихся проверок.
  6. При необходимости настройте разрешения и область.
  7. Отмена подготовки учетной записи.

Сбор сведений об использовании учетной записи службы

Сбор соответствующих сведений для каждой учетной записи службы. В следующей таблице перечислены минимальные сведения для сбора. Получите необходимые сведения для проверки каждой учетной записи.

Data Description
Владелец Учетная запись пользователя или группы для учетной записи службы
Назначение Назначение учетной записи службы
Разрешения (области) Ожидаемые разрешения
Ссылки CMDB Учетная запись службы перекрестной связи с целевым скриптом или приложением и владельцами
Риск Результаты оценки рисков безопасности
Время существования Ожидаемое максимальное время существования для планирования срока действия учетной записи или повторной сертификации

Сделайте запрос учетной записи самостоятельной службой и требуйте соответствующих сведений. Владелец — это приложение или владелец бизнеса, ит-член группы или владелец инфраструктуры. Microsoft Forms можно использовать для запросов и связанных сведений. Если учетная запись утверждена, используйте Microsoft Forms, чтобы перенести ее в средство инвентаризации баз данных управления конфигурацией (CMDB).

Учетные записи служб и CMDB

Храните собранные сведения в приложении CMDB. Включите зависимости от инфраструктуры, приложений и процессов. Используйте этот центральный репозиторий для:

  • Оценка риска
  • Настройка учетной записи службы с ограничениями
  • Определение функциональных и зависимостей безопасности
  • Проведение регулярных проверок безопасности и продолжающейся необходимости
  • Обратитесь к владельцу, чтобы просмотреть, уйти в отставку и изменить учетную запись службы.

Пример сценария управления персоналом

Примером является учетная запись службы, которая запускает веб-сайт с разрешениями на подключение к базам данных SQL Human Resources. Сведения в CMDB учетной записи службы, включая примеры, приведены в следующей таблице:

Data Пример
Владелец, представитель Имя, имя
Назначение Запуск веб-страницы управления кадрами и подключение к базе данных управления кадрами. Олицетворение конечных пользователей при доступе к базам данных.
Разрешения, области HR-WEBServer: локальный вход, запуск веб-страницы
HR-SQL1: войдите локально; разрешения на чтение для баз данных отдела кадров
HR-SQL2: локальный вход; разрешения на чтение только для базы данных оклада
Центр затрат. 123456
Оценка риска Средний; Влияние на бизнес: среднее; Конфиденциальность информации: средняя
ограничения учетной записи; Войдите на: только указанные выше упоминание серверы; Не удается изменить пароль; политика паролей МБ I;
Время существования С неограниченным доступом
Цикл проверки Бьяннули: владелец, команда безопасности или команда конфиденциальности

Оценки рисков учетной записи службы или официальные проверки

Если ваша учетная запись скомпрометирована несанкционированным источником, оцените риски для связанных приложений, служб и инфраструктуры. Рассмотрите прямые и косвенные риски:

  • Ресурсы, к которым неавторизованный пользователь может получить доступ
    • Другие сведения или системы, к учетной записи службы можно получить доступ
  • Разрешения, которые может предоставить учетная запись
    • Признаки или сигналы при изменении разрешений

После оценки риска документация, вероятно, показывает, что риски влияют на учетную запись:

  • Ограничения
  • Время существования
  • Проверка требований
    • Каденс и рецензенты

Создание учетной записи службы и применение ограничений для учетной записи

Примечание.

Создайте учетную запись службы после оценки рисков и задокументируйте результаты в CMDB. Выравнивание ограничений учетной записи с результатами оценки рисков.

Рассмотрим следующие ограничения, хотя некоторые могут не иметь отношения к оценке.

Проверки учетной записи службы

Планирование регулярных проверок учетных записей служб, особенно тех, которые классифицируют средний и высокий риск. Проверки могут включать:

  • Аттестация владельца для учетной записи с обоснованием разрешений и область
  • Проверки конфиденциальности и безопасности группы безопасности, включающие вышестоящий и подчиненные зависимости
  • Проверка данных аудита
  • Убедитесь, что учетная запись используется для ее указанной цели

Отмена предоставления учетных записей служб

Учетные записи службы отмены подготовки на следующих моментах:

  • Прекращение использования скрипта или приложения, для которого была создана учетная запись службы
  • Прекращение использования скрипта или функции приложения, для которой использовалась учетная запись службы
  • Замена учетной записи службы на другую

Чтобы отменить подготовку, выполните следующие действия.

  1. Удалите разрешения и мониторинг.
  2. Проверьте входы и доступ к ресурсам связанных учетных записей служб, чтобы гарантировать отсутствие потенциального влияния на них.
  3. Запрет входа в учетную запись.
  4. Убедитесь, что учетная запись больше не нужна (нет жалобы).
  5. Создайте бизнес-политику, которая определяет время отключения учетных записей.
  6. Удалите учетную запись службы.
  • MSAs — see, Uninstall-ADServiceAccount
    • Использование PowerShell или удаление его вручную из контейнера управляемой учетной записи службы
  • Учетные записи компьютеров или пользователей — вручную удалите учетную запись из Active Directory

Следующие шаги

Дополнительные сведения о защите учетных записей служб см. в следующих статьях: