Защита учетных записей служб, связанных с пользователями, в Active Directory

2023-10-24

Локальные учетные записи пользователей были традиционным подходом для защиты служб, работающих в Windows. Сегодня используйте эти учетные записи, если групповые управляемые учетные записи служб (gMSAs) и автономные управляемые учетные записи служб (SMSAs) не поддерживаются службой. Сведения об используемом типе учетной записи см. в разделе "Защита локальных учетных записей служб".

Вы можете изучить перемещение вашей службы на учетную запись службы Azure, например, управляемое удостоверение или служебный субъект.

Подробнее:

Что такое управляемые идентификации для ресурсов Azure?
Защита учетных записей служб в системе идентификации Microsoft Entra

Вы можете создать локальные учетные записи пользователей, чтобы обеспечить безопасность служб и разрешений, используемых для доступа к локальным и сетевым ресурсам. Для локальных учетных записей пользователей требуется ручное управление паролями, например другие учетные записи пользователей Active Directory (AD). Администраторы служб и доменов должны поддерживать надежные процессы управления паролями, чтобы обеспечить безопасность учетных записей.

При создании учетной записи пользователя в качестве учетной записи службы используйте ее для одной службы. Используйте соглашение об именовании, которое указывает, что это учетная запись службы, а также связанная с ней служба.

Преимущества и проблемы

Локальные учетные записи пользователей — это универсальный тип учетной записи. Учетные записи пользователей, используемые в качестве учетных записей служб, контролируются политиками, определяющими учетные записи пользователей. Используйте их, если вы не можете использовать MSA. Оцените, является ли учетная запись компьютера лучшей.

Проблемы локальных учетных записей пользователей приведены в следующей таблице:

Вызов	Смягчение последствий
Управление паролями выполняется вручную и приводит к более слабой безопасности и простою службы	— Обеспечение регулярной сложности паролей и изменения управляются процессом, поддерживающим надежные пароли — координация изменений паролей с помощью пароля службы, что помогает сократить время простоя службы.
Определение локальных учетных записей пользователей, которые являются учетными записями служб, может быть сложной задачей.	— Учетные записи службы документов, развернутые в вашей среде . Отслеживание имени учетной записи и ресурсов, к которым они могут получить доступ . Попробуйте добавить префикс svc в учетные записи пользователей, используемые в качестве учетных записей служб.

Вызов

Смягчение последствий

Управление паролями выполняется вручную и приводит к более слабой безопасности и простою службы

— Обеспечение регулярной сложности паролей и изменения управляются процессом, поддерживающим надежные пароли
— координация изменений паролей с помощью пароля службы, что помогает сократить время простоя службы.

Определение локальных учетных записей пользователей, которые являются учетными записями служб, может быть сложной задачей.

— Учетные записи службы документов, развернутые в вашей среде
. Отслеживание имени учетной записи и ресурсов, к которым они могут получить доступ
. Попробуйте добавить префикс svc в учетные записи пользователей, используемые в качестве учетных записей служб.

Поиск локальных учетных записей пользователей, используемых в качестве учетных записей служб

Локальные учетные записи пользователей похожи на другие учетные записи пользователей AD. Трудно найти учетные записи, так как атрибут учетной записи пользователя не определяет его как учетную запись службы. Рекомендуется создать соглашение об именовании для учетных записей пользователей, которые используются в качестве учетных записей служб. Например, добавьте префикс svc в имя службы: svc-HRDataConnector.

Используйте некоторые из следующих условий для поиска учетных записей служб. Однако такой подход может не найти учетные записи:

Доверенное лицо для делегирования
С именами субъектов-служб
Пароли, срок действия которых не ограничен

Чтобы найти локальные учетные записи пользователей, используемые для служб, выполните следующие команды PowerShell:

Чтобы найти учетные записи, доверенные для делегирования:


Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}

Чтобы найти учетные записи с именами основных служб, выполните приведенные далее действия.


Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}

Чтобы найти учетные записи с паролями, которые никогда не истекают, выполните приведенные далее действия.


Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}

Вы можете выполнять аудит доступа к конфиденциальным ресурсам и архивировать журналы аудита в системе управления сведениями безопасности и событиями (SIEM). С помощью Azure Log Analytics или Microsoft Sentinel можно искать и анализировать учетные записи служб.

Оценка безопасности локальной учетной записи пользователя

Используйте следующие критерии для оценки безопасности локальных учетных записей пользователей, используемых в качестве учетных записей служб:

Политика управления паролями
Учетные записи с членством в привилегированных группах
Разрешения на чтение и запись важных ресурсов

Устранение потенциальных проблем безопасности

См. следующую таблицу, чтобы узнать о потенциальных проблемах безопасности учетной записи пользователей и их устранении.

Проблема безопасности	Смягчение последствий
Управление паролями	— Убедитесь, что изменение сложности паролей и изменение пароля регулируются регулярными обновлениями и строгими требованиями к паролям— координация изменений паролей с обновлением пароля, чтобы свести к минимуму время простоя службы.
Учетная запись является членом привилегированных групп	— Просмотр членства в группах — Удаление учетной записи из привилегированных групп — Предоставление учетной записи прав и разрешений для запуска службы (проконсультируйтесь с поставщиком службы) — Например, запрет локального или интерактивного входа в систему
У учетной записи есть разрешения на чтение и запись для конфиденциальных ресурсов	— Аудит доступа к конфиденциальным ресурсам — архивирование журналов аудита в SIEM: Azure Log Analytics или Microsoft Sentinel — устранение разрешений ресурсов при обнаружении нежелательных уровней доступа

Безопасные типы учетных записей

Корпорация Майкрософт не рекомендует использовать локальные учетные записи пользователей в качестве учетных записей служб. Для служб, использующих этот тип учетной записи, оцените, можно ли настроить использование gMSA или sMSA. Кроме того, оцените, можно ли переместить службу в Azure, чтобы включить использование более безопасных типов учетных записей.

Дальнейшие шаги

Дополнительные сведения о защите учетных записей служб см. в следующем разделе: