管理本地服务帐户
Active Directory 提供了四种类型的本地服务帐户:
- 组托管服务帐户 (gMSA)
- 独立的托管服务帐户 (sMSA)
- 本地计算机帐户
- 用作服务帐户的用户帐户
服务帐户治理的一部分内容包括:
- 根据要求和目的保护它们
- 管理帐户生命周期及其凭据
- 基于风险和权限评估服务帐户
- 确保 Active Directory (AD) 和 Microsoft Entra ID 没有未使用的、具有权限的服务帐户
新服务帐户原则
创建服务帐户时,请考虑下表中的信息。
| 原则 | 注意事项 |
|---|---|
| 服务帐户映射 | 将服务帐户连接到服务、应用程序或脚本 |
| 所有权 | 确保有请求并承担责任的帐户所有者 |
| 范围 | 定义范围并预估使用持续时间 |
| 目的 | 为一个目的创建服务帐户 |
| 权限 | 应用最低权限原则: - 不向管理员等内置组分配权限 - 在可行的情况下删除本地计算机权限 - 定制访问权限,并使用 AD 委派进行目录访问 - 使用更精细的访问权限 - 设置基于用户的服务帐户的帐户过期和位置限制 |
| 监视和审核使用情况 | - 监视登录数据,并确保其与预期使用情况匹配 - 为异常使用情况设置警报 |
用户帐户限制
对于用作服务帐户的用户帐户,应用以下设置:
- 帐户过期 - 将服务帐户设置为在其评审期后自动过期,除非帐户可以继续
- LogonWorkstations - 限制服务帐户登录权限
- 如果它在本地运行并访问计算机上的资源,则限制它在其他任何位置登录
- 无法更改密码 - 将参数设置为 true 以阻止服务帐户更改自己的密码
生命周期管理过程
要帮助维护服务帐户的安全性,请从开始到停用都对其进行管理。 请按以下过程操作:
- 收集帐户使用情况信息。
- 将服务帐户和应用移到配置管理数据库 (CMDB)。
- 执行风险评估或正式评审。
- 创建服务帐户并应用限制。
- 计划并执行定期评审。
- 根据需要调整权限和范围。
- 取消设置帐户。
收集服务帐户使用情况信息
收集每个服务帐户的相关信息。 下表列出了要收集的最少信息。 获取验证每个帐户所需的内容。
| 数据 | 说明 |
|---|---|
| 所有者 | 对服务帐户负责的用户或组 |
| 目的 | 服务帐户的用途 |
| 权限(范围) | 预期权限 |
| CMDB 链接 | 服务帐户与目标脚本或应用程序和所有者之间的交叉链接 |
| 风险 | 安全风险评估的结果 |
| 生存期 | 计划帐户过期或重新认证的预估最长生存期 |
使帐户发起自助服务请求,并要求提供相关信息。 所有者是应用程序或企业主、IT 团队成员或基础结构所有者。 可以将 Microsoft Forms 用于请求和相关信息。 如果帐户获得批准,使用 Microsoft Forms 将其移植到配置管理数据库(CMDB)清单工具。
服务帐户和 CMDB
将收集的信息存储在 CMDB 应用程序中。 包括对基础结构、应用和过程的依赖项。 使用此中央存储库以:
- 评估风险
- 为服务帐户配置限制
- 确定功能和安全依赖项
- 针对安全性和持续需求进行定期评审
- 联系所有者以评审、停用和更改服务帐户
示例 HR 方案
例如,服务帐户运行有权连接到人力资源 SQL 数据库的网站。 服务账号 CMDB 中的信息(包含示例)如下表所示:
| 数据 | 示例 |
|---|---|
| 所有者、代理人 | 名称 |
| 目的 | 运行 HR 网页并连接到 HR 数据库。 访问数据库时模拟最终用户。 |
| 权限、范围 | HR-WEBServer:本地登录;运行网页 HR-SQL1: 本地登录;HR 数据库上的读取权限 HR-SQL2:本地登录;只有薪金数据库的读取权限 |
| 成本中心 | 123456 |
| 评估的风险 | 中等;业务影响性:中等;私密信息;中等 |
| 帐户限制 | 登录到: 仅上述服务器;无法更改密码;MBI-Password 策略; |
| 生存期 | 非受限 |
| 评审周期 | 半年一次: 按所有者、安全团队或隐私团队 |
服务帐户风险评估或正式评审
如果帐户被未经授权的源入侵,请评估关联应用程序、服务和基础结构的风险。 请考虑直接风险和间接风险:
- 未经授权的用户可访问的资源
- 服务帐户可以访问的其他信息或系统
- 帐户可授予的权限
- 权限更改时的指示或信号
评估风险后,文档可能会显示风险会影响帐户:
- 限制
- 生存期
- 审查要求
- 节奏和审阅者
创建服务帐户并应用帐户限制
注意
在风险评估后创建服务帐户,并将结果记录在 CMDB中。 使帐户限制与风险评估结果保持一致。
请考虑以下限制(但有些限制可能与评估无关)。
- 对于用作服务帐户的用户帐户,请定义一个实际的结束日期
- 使用 帐户过期 标志设置日期
- 了解详细信息: Set-ADAccountExpiration
- 请参阅 Set-ADUser (Active Directory)
- 密码策略要求
- 在组织单位位置创建帐户,确保只有一些用户对其进行管理
- 设置并收集会检测服务帐户更改的审核:
- 请参阅 审核目录服务更改 和
- 转到 manageengine.com,了解 如何在 AD 中审核 Kerberos 身份验证事件
- 在进入生产之前更安全地授予帐户访问权限
服务帐户评审
计划定期服务帐户评审,尤其是那些归类为“中等风险”和“高风险”的帐户。 评审可以包括:
- 所有者证明,阐述需要帐户的原因以及权限和范围的理由
- 包括上游和下游依赖项的隐私团队和安全团队评审
- 审核数据评审
- 确保帐户用于其声明用途
取消预配服务帐户
在以下时刻取消设置服务帐户:
- 停用已为其创建服务帐户的脚本或应用程序
- 停用已为其使用服务帐户的脚本或应用程序函数
- 将服务帐户替换为另一个帐户
要取消设置:
- 删除权限和监视。
- 检查相关服务帐户的登录和资源访问,从而确保不会对它们产生潜在影响。
- 阻止帐户登录。
- 确保不再需要该帐户(无投诉)。
- 创建确定禁用帐户时间量的业务策略。
- 删除服务帐户。
- MSA - 请参阅 Uninstall-ADServiceAccount
- 使用 PowerShell 或从托管服务帐户容器中手动将其删除
- 计算机或用户帐户 - 从 Active Directory 中手动删除帐户
后续步骤
若要详细了解如何保护服务帐户,请参阅以下文章: