Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Что такое учетные записи служб?
Учетные записи служб — это специализированные удостоверения в Active Directory, используемые для запуска приложений, служб и автоматизированных задач. Эти учетные записи часто требуют повышенных привилегий для выполнения назначенных заданий. Тем не менее, поскольку они не могут проходить проверку подлинности так же, как учетные записи человека, они обычно не получают преимуществ от повышения безопасности современных методов проверки подлинности, таких как MFA (многофакторная проверка подлинности). Учитывая их потенциальные повышенные привилегии и присущие им ограничения политик доступа, которые ими управляют, тщательное управление и мониторинг имеют решающее значение, чтобы они не стали уязвимостью безопасности.
Учетные записи служб классифицируются на несколько типов:
- gMSA (групповые управляемые учетные записи служб): gMSA предоставляют единое решение для идентификации для нескольких служб, требующих взаимной проверки подлинности на нескольких серверах, так как они позволяют Windows обрабатывать управление паролями, уменьшая административные издержки.
- sMSA (управляемые учетные записи служб). Предназначен для отдельных служб на одном сервере, а не для групп.
- Учетная запись пользователя. Эти стандартные учетные записи пользователей обычно используются для интерактивных имен входа, но также могут быть настроены для запуска служб.
Функция автоматического обнаружения быстро определяет учетные записи gMSA и sMSA и учетные записи пользователей в Active Directory, соответствующие определенным критериям. Эти критерии включают в себя наличие имени субъекта-службы и присвоенного атрибута "Никогда не истекает срок действия пароля ". Функция классифицирует эти учетные записи как учетные записи служб. Эти учетные записи выделены и представлены вместе с соответствующей информацией, включая аналитические сведения о последних проверках подлинности, а также источники и назначения этих взаимодействий, в рамках выделенного инвентаризации в интерфейсе Defender. Это поможет вам лучше понять назначение учетных записей, чтобы было проще определить аномальную активность и понять ее последствия.
Типы учетных записей службы отображаются в таблице Сведения об удостоверениях в разделе Расширенный поиск.
Страница учетных записей служб
Перейдите на страницу учетных записей служб.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Учетные > записи службы удостоверений.
На следующем рисунке показана страница учетных записей служб:
Настройка представления страницы
Существует несколько вариантов настройки представления списка удостоверений. В верхней области навигации можно:
Добавление или удаление столбцов.
Применить фильтры.
Экспорт списка в CSV-файл.
Отсортируйте и отфильтруйте список учетных записей служб.
Примечание.
При экспорте списка учетных записей служб в CSV-файл отображается не более 2000 учетных записей служб.
Сведения об учетной записи службы
Всего: общее количество перечисленных учетных записей служб.
Управляемый. Общее количество учетных записей служб, которые являются gMSA (групповые управляемые учетные записи служб) или sMSA (управляемые учетные записи служб).
Пользователь: общее количество учетных записей стандартных пользователей, используемых для интерактивных имен входа или настроенных для запуска служб.
Критическое. Общее количество учетных записей служб, определенных как критические.
Вы можете использовать функцию сортировки и фильтрации на каждой вкладке учетной записи службы, чтобы получить более подробное представление.
| Сведения об учетной записи службы | Описание |
|---|---|
| Отображаемое имя | Полное имя учетной записи службы, как показано в каталоге. |
| SID | Идентификатор безопасности— уникальное значение, используемое для идентификации удостоверения в Active Directory. |
| Домен | Домен Active Directory, которому принадлежит удостоверение. |
| Type | Указывает, является ли учетная запись службы gMSA (групповые управляемые учетные записи служб), sMSA (управляемые учетные записи служб) или учетной записью пользователя. |
| Уровень важности | Указывает критический уровень учетной записи службы в диапазоне от низкого до очень высокого. |
| Tags | Конфиденциальный или медовый токен |
| Протоколы проверки подлинности | Список доступных методов проверки удостоверений пользователей, например Kerberos и NTLM (диспетчер новой технологии локальной сети). |
| Sources | Количество потенциальных исходных имен входа. |
| Направлений | Когда учетная запись службы пытается получить доступ к целевому серверу, запрос направляется в целевую систему, которая может содержать много ресурсов на этом сервере. Это могут быть база данных, файловый сервер или другие службы, размещенные на сервере. |
| Connections | Количество уникальных подключений между источниками и назначениями. |
| Created | Метка времени создания учетной записи службы. |
| Последнее обновление | Метка времени последнего обновления учетной записи службы. |
Подключения
Чтобы получить более подробные сведения о том, что происходит в учетной записи службы, выберите доменное имя, чтобы просмотреть следующие сведения:
При изучении конкретной учетной записи службы на вкладке Подключения отображаются следующие сведения:
| Сведения о подключении учетной записи службы | Описание |
|---|---|
| Source | Откуда поступает сетевой трафик или запрос. |
| Тип источника | Какое устройство или система инициирует запрос. Например, сервер, рабочая станция или контроллер домена. |
| Исходный риск | Идентическое значение риска, создаваемого источником, от отсутствия риска до высокого риска. |
| Цель | Куда направляется запрос. Целевая система, к которому пытается получить доступ учетная запись службы. Например, при попытке получить доступ к целевому серверу на этом сервере может быть несколько ресурсов (например, база данных и файловый сервер). |
| Тип назначения | Сервер, рабочая станция или контроллер домена. |
| Протоколы проверки подлинности | Kerberos и NTLM |
| Класс службы | Службы в сети, определяющие тип предоставляемой службы, часто используемые для проверки подлинности и управления ресурсами. К ним относятся протокол LDAP, общая файловая система Интернета (CIFS), удаленный вызов процедур (RPC), подсистема удаленного вызова процедур (RPCSS), "HTTP", службы терминалов (TERMSRV) и "HOST". |
| Count | Сколько событий входа произошло за это подключение за последние 180 дней. |
| Был(-а) в сети | Дата и время последнего события входа по этому подключению. |
Определение правил классификации учетных записей службы
Правила классификации учетных записей служб позволяют определить собственные критерии для идентификации учетных записей служб. Эти правила помогают включить учетные записи служб, которые Defender для удостоверений не определяет автоматически. Например, некоторые организации называют все свои учетные записи служб префиксом , например srv. Defender для удостоверений не обнаруживает такие соглашения об именовании автоматически. Создав правило классификации на основе этого шаблона, вы можете включить эти учетные записи в представление учетных записей служб.
Правила классификации работают вместе с автоматическим обнаружением Defender для удостоверений и обеспечивают более полное и настраиваемое представление учетных записей служб в вашей среде.
Чтобы создать правило, выполните приведенные далее действия.
- Перейдите > в раздел Параметры Microsoft Defender XDR > Классификация учетных записей служб.
- Выберите + Создать новое правило.
- Введите имя правила.
- Необязательно. Добавьте описание.
- Выберите один или несколько из следующих фильтров:
- Отображаемое имя учетной записи
- Домен учетной записи
- Имя SAM учетной записи
- Подразделение.
- Нажмите кнопку Создать, чтобы сохранить правило.
Дополнительные сведения о Defender для удостоверений см. в статье Исследование ресурсов.
Связанные материалы
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, ознакомьтесь с запросом в службу поддержки Microsoft Defender для удостоверений.