管理本地服务帐户

Active Directory 提供了四种类型的本地服务帐户:

服务帐户治理的一部分内容包括:

  • 根据要求和目的保护它们
  • 管理帐户生命周期及其凭据
  • 基于风险和权限评估服务帐户
  • 确保 Active Directory (AD) 和 Microsoft Entra ID 没有未使用的、具有权限的服务帐户

新服务帐户原则

创建服务帐户时,请考虑下表中的信息。

原则 注意事项
服务帐户映射 将服务帐户连接到服务、应用程序或脚本
所有权 确保有请求并承担责任的帐户所有者
范围 定义范围并预估使用持续时间
目的 为一个目的创建服务帐户
权限 应用最低权限原则:
- 不向管理员等内置组分配权限
- 在可行的情况下删除本地计算机权限
- 定制访问权限,并使用 AD 委派进行目录访问
- 使用更精细的访问权限
- 设置基于用户的服务帐户的帐户过期和位置限制
监视和审核使用情况 - 监视登录数据,并确保其与预期使用情况匹配
- 为异常使用情况设置警报

用户帐户限制

对于用作服务帐户的用户帐户,应用以下设置:

  • 帐户过期 - 将服务帐户设置为在其评审期后自动过期,除非帐户可以继续
  • LogonWorkstations - 限制服务帐户登录权限
    • 如果它在本地运行并访问计算机上的资源,则限制它在其他任何位置登录
  • 无法更改密码 - 将参数设置为 true 以阻止服务帐户更改自己的密码

生命周期管理过程

要帮助维护服务帐户的安全性,请从开始到停用都对其进行管理。 请按以下过程操作:

  1. 收集帐户使用情况信息。
  2. 将服务帐户和应用移到配置管理数据库 (CMDB)。
  3. 执行风险评估或正式评审。
  4. 创建服务帐户并应用限制。
  5. 计划并执行定期评审。
  6. 根据需要调整权限和范围。
  7. 取消设置帐户。

收集服务帐户使用情况信息

收集每个服务帐户的相关信息。 下表列出了要收集的最少信息。 获取验证每个帐户所需的内容。

数据 说明
所有者 对服务帐户负责的用户或组
目的 服务帐户的用途
权限(范围) 预期权限
CMDB 链接 服务帐户与目标脚本或应用程序和所有者之间的交叉链接
风险 安全风险评估的结果
生存期 计划帐户过期或重新认证的预估最长生存期

使帐户发起自助服务请求,并要求提供相关信息。 所有者是应用程序或企业主、IT 团队成员或基础结构所有者。 可以将 Microsoft Forms 用于请求和相关信息。 如果帐户获得批准,使用 Microsoft Forms 将其移植到配置管理数据库(CMDB)清单工具。

服务帐户和 CMDB

将收集的信息存储在 CMDB 应用程序中。 包括对基础结构、应用和过程的依赖项。 使用此中央存储库以:

  • 评估风险
  • 为服务帐户配置限制
  • 确定功能和安全依赖项
  • 针对安全性和持续需求进行定期评审
  • 联系所有者以评审、停用和更改服务帐户

示例 HR 方案

例如,服务帐户运行有权连接到人力资源 SQL 数据库的网站。 服务账号 CMDB 中的信息(包含示例)如下表所示:

数据 示例
所有者、代理人 名称
目的 运行 HR 网页并连接到 HR 数据库。 访问数据库时模拟最终用户。
权限、范围 HR-WEBServer:本地登录;运行网页
HR-SQL1: 本地登录;HR 数据库上的读取权限
HR-SQL2:本地登录;只有薪金数据库的读取权限
成本中心 123456
评估的风险 中等;业务影响性:中等;私密信息;中等
帐户限制 登录到: 仅上述服务器;无法更改密码;MBI-Password 策略;
生存期 非受限
评审周期 半年一次: 按所有者、安全团队或隐私团队

服务帐户风险评估或正式评审

如果帐户被未经授权的源入侵,请评估关联应用程序、服务和基础结构的风险。 请考虑直接风险和间接风险:

  • 未经授权的用户可访问的资源
    • 服务帐户可以访问的其他信息或系统
  • 帐户可授予的权限
    • 权限更改时的指示或信号

评估风险后,文档可能会显示风险会影响帐户:

  • 限制
  • 生存期
  • 审查要求
    • 节奏和审阅者

创建服务帐户并应用帐户限制

注意

在风险评估后创建服务帐户,并将结果记录在 CMDB中。 使帐户限制与风险评估结果保持一致。

请考虑以下限制(但有些限制可能与评估无关)。

服务帐户评审

计划定期服务帐户评审,尤其是那些归类为“中等风险”和“高风险”的帐户。 评审可以包括:

  • 所有者证明,阐述需要帐户的原因以及权限和范围的理由
  • 包括上游和下游依赖项的隐私团队和安全团队评审
  • 审核数据评审
  • 确保帐户用于其声明用途

取消预配服务帐户

在以下时刻取消设置服务帐户:

  • 停用已为其创建服务帐户的脚本或应用程序
  • 停用已为其使用服务帐户的脚本或应用程序函数
  • 将服务帐户替换为另一个帐户

要取消设置:

  1. 删除权限和监视。
  2. 检查相关服务帐户的登录和资源访问,从而确保不会对它们产生潜在影响。
  3. 阻止帐户登录。
  4. 确保不再需要该帐户(无投诉)。
  5. 创建确定禁用帐户时间量的业务策略。
  6. 删除服务帐户。
  • MSA - 请参阅 Uninstall-ADServiceAccount
    • 使用 PowerShell 或从托管服务帐户容器中手动将其删除
  • 计算机或用户帐户 - 从 Active Directory 中手动删除帐户

后续步骤

若要详细了解如何保护服务帐户,请参阅以下文章: