Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Active Directory предлагает четыре типа локальных учетных записей служб:
- Учетные записи служб, управляемые группой (gMSAs)
- Автономные управляемые учетные записи служб (sMSAs)
- Локальные учетные записи компьютеров
- Учетные записи пользователей, работающие как учетные записи службы
Часть управления учетной записью службы включает в себя:
- Защита их в зависимости от требований и цели
- Управление жизненным циклом учетных записей и их данных для входа
- Оценка учетных записей служб на основе рисков и разрешений
- Проверка отсутствия неиспользуемых учетных записей служб Active Directory (AD) и Microsoft Entra ID с соответствующими разрешениями.
Принципы новой служебной учетной записи
При создании учетных записей служб рассмотрите сведения в следующей таблице.
| Принцип | Рассмотрение |
|---|---|
| Сопоставление учетных записей службы | Подключение учетной записи службы к службе, приложению или скрипту |
| Собственность | Убедитесь, что владелец учетной записи запрашивает и берет на себя ответственность |
| Область действия | Определение области и прогнозирование длительности использования |
| Цель | Создание учетных записей служб для одной цели |
| Разрешения | Примените принцип наименьшего разрешения: - Не назначайте разрешения встроенным группам, таким как администраторы - Удаляйте разрешения на уровне локального компьютера, по возможности - Настраивайте доступ и используйте делегирование AD для доступа к каталогам - Используйте детализированные разрешения доступа - Устанавливайте ограничения срока действия и местоположения для пользовательских учетных записей служб |
| Мониторинг и использование аудита | — Отслеживайте данные входа и убедитесь, что оно соответствует предполагаемому использованию . Настройка оповещений об аномальном использовании |
Ограничения учетной записи пользователя
Для учетных записей пользователей, используемых в качестве учетных записей служб, примените следующие параметры:
- Истечение срока действия учетной записи — установите, чтобы учетная запись службы автоматически истекала после ее периода проверки, если не будет принято решение о продлении.
-
LogonWorkstations — ограничение разрешений на вход учетной записи службы
- Если программа выполняется локально и получает доступ к ресурсам на компьютере, ограничьте её возможность входа с других устройств.
- Не удается изменить пароль . Задайте для параметра значение true , чтобы предотвратить изменение учетной записи службы собственного пароля.
Процесс управления жизненным циклом
Чтобы обеспечить безопасность учетной записи службы, управляйте ими с момента создания до вывода из эксплуатации. Используйте следующий процесс:
- Сбор сведений об использовании учетной записи.
- Переместите учетную запись службы и приложение в базу данных управления конфигурацией (CMDB).
- Выполните оценку рисков или официальную проверку.
- Создайте учетную запись службы и примените ограничения.
- Планирование и выполнение повторяющихся проверок.
- При необходимости настройте разрешения и области действия.
- Отключение учетной записи.
Сбор сведений об использовании учетной записи службы
Сбор соответствующих сведений для каждой учетной записи службы. В следующей таблице перечислены минимальные сведения для сбора. Получите необходимые сведения для проверки каждой учетной записи.
| Данные | Описание |
|---|---|
| Владелец | Ответственный пользователь или группа за учетную запись службы |
| Цель | Назначение учетной записи службы |
| Разрешения (области) | Ожидаемые разрешения |
| Ссылки CMDB | Учетная запись службы перекрестной связи с целевым скриптом или приложением и их владельцами |
| Риск | Результаты оценки рисков безопасности |
| Продолжительность жизни | Ожидаемая максимальная продолжительность для установления срока истечения учетной записи или повторной сертификации |
Сделайте запрос учетной записи доступным для самостоятельного выполнения и запросите соответствующую информацию. Владелец — это приложение или владелец бизнеса, ит-член группы или владелец инфраструктуры. Microsoft Forms можно использовать для запросов и связанных сведений. Если учетная запись утверждена, используйте Microsoft Forms, чтобы перенести ее в средство инвентаризации баз данных управления конфигурацией (CMDB).
Учетные записи служб и CMDB
Храните собранные сведения в приложении CMDB. Включите зависимости от инфраструктуры, приложений и процессов. Используйте этот центральный репозиторий для:
- Оценка риска
- Настройка учетной записи службы с ограничениями
- Определение функциональных и аспектов безопасности зависимостей
- Проведение регулярных проверок безопасности и продолжающейся необходимости
- Обратитесь к владельцу, чтобы просмотреть, отключить и изменить аккаунт сервиса.
Пример сценария управления персоналом
Примером является учетная запись службы, которая запускает веб-сайт с разрешениями на подключение к базам данных SQL Human Resources. Сведения в CMDB учетной записи службы, включая примеры, приведены в следующей таблице:
| Данные | Пример |
|---|---|
| Владелец, заместитель | Имя, Имя |
| Цель | Запустите веб-страницу отдела кадров и подключитесь к базам данных отдела кадров. Имитировать конечных пользователей при доступе к базам данных. |
| Разрешения, области | HR-WEBServer: войдите локально; откройте веб-страницу HR-SQL1: войдите локально; разрешения на чтение для баз данных отдела кадров HR-SQL2: войдите локально; Разрешения на чтение только для базы данных "Зарплата" |
| Центр затрат | 123456 |
| Оценка риска | Средний; Влияние на бизнес: Средний; частная информация; Средний |
| Ограничения учетных записей | Войдите на: только упомянутые выше серверы; Невозможно изменить пароль; правило MBI-Password; |
| Продолжительность жизни | Неограниченный |
| Цикл проверки | Ежегодно два раза: владельцем, командой безопасности или командой конфиденциальности |
Оценки рисков служебных учетных записей или официальные проверки
Если ваша учетная запись скомпрометирована несанкционированным источником, оцените риски для связанных приложений, служб и инфраструктуры. Рассмотрите прямые и косвенные риски:
- Ресурсы, к которым неавторизованный пользователь может получить доступ
- Другие сведения или системы, к которым учетная запись службы может получить доступ
- Разрешения, которые может предоставить учетная запись
- Признаки или сигналы при изменении разрешений
После оценки риска документация, вероятно, показывает, что риски влияют на учетную запись:
- Ограничения
- Продолжительность жизни
- Проверка требований
- Каденс и рецензенты
Создание учетной записи службы и применение ограничений учетной записи
Замечание
Создайте учетную запись службы после оценки рисков и задокументируйте результаты в CMDB. Выравнивание ограничений учетной записи с результатами оценки рисков.
Рассмотрим следующие ограничения, хотя некоторые могут не иметь отношения к оценке.
- Для учетных записей пользователей, используемых в качестве учетных записей служб, определите реалистичную дату окончания.
- Использование флага "Срок действия учетной записи" для задания даты
- Дополнительные сведения: Set-ADAccountExpiration
- См. Set-ADUser (Active Directory)
- Требования к политике паролей
- Создайте учетные записи в местоположении организационного подразделения, где гарантируется, что только определённые пользователи смогут управлять.
- Настройте и соберите аудит, который обнаруживает изменения учетной записи служебной:
- См. изменения службы каталогов аудита и
- Перейдите на manageengine.com, чтобы узнать, как проводить аудит событий проверки подлинности Kerberos в AD.
- Предоставьте доступ к учетной записи более безопасным способом перед вводом в эксплуатацию.
Рецензирование учетных записей службы
Назначьте регулярные проверки учетных записей служб, особенно тех, которые классифицированы как средний и высокий риск. Проверки могут включать:
- Подтверждение владельцем необходимости использования учетной записи с обоснованием разрешений и объемов полномочий.
- Проверки конфиденциальности и безопасности группы, включающих входящие и выходящие зависимости.
- Проверка данных аудита
- Убедитесь, что учетная запись используется для ее указанной цели
Отмена предоставления учетных записей служб
Удаление сервисных аккаунтов в следующие моменты:
- Прекращение использования скрипта или приложения, для которого была создана учетная запись службы
- Прекращение использования скрипта или функции приложения, для которой использовалась учетная запись службы
- Замена учетной записи службы на другую
Чтобы отменить подготовку, выполните следующие действия.
- Удалите разрешения и мониторинг.
- Проверьте входы и доступ к ресурсам связанных учетных записей служб, чтобы гарантировать отсутствие потенциального влияния на них.
- Запрет входа в учетную запись.
- Убедитесь, что учетная запись больше не нужна (нет жалобы).
- Создайте бизнес-политику, которая определяет время отключения учетных записей.
- Удалите учетную запись службы.
-
MSAs — см. Uninstall-ADServiceAccount
- Использование PowerShell или удаление его вручную из контейнера управляемой учетной записи службы
- Учетные записи компьютеров или пользователей — вручную удалите учетную запись из Active Directory
Дальнейшие шаги
Дополнительные сведения о защите учетных записей служб см. в следующих статьях:
- Защита локальных учетных записей служб
- Безопасные управляемые служебные учетные записи группы
- Безопасные автономные управляемые учетные записи служб
- Защита локальных учетных записей компьютеров с помощью AD
- Защита пользовательских служебных учетных записей в AD