Active Directory 提供四种类型的本地服务帐户:
- 组托管服务帐户 (gMSA)
- 独立托管服务帐户(sMSA)
- 本地计算机帐户
- 充当服务帐户的用户帐户
服务帐户治理的一部分包括:
- 根据要求和目的保护它们
- 管理帐户生命周期及其凭据
- 基于风险和权限评估服务帐户
- 确保 Active Directory (AD) 和 Microsoft Entra ID 没有未使用的服务帐户,具有权限
新的服务帐户原则
创建服务帐户时,请考虑下表中的信息。
| 原则 | 注意事项 |
|---|---|
| 服务帐户映射 | 将服务帐户连接到服务、应用程序或脚本 |
| 所有权 | 确保有一个帐户所有者请求并承担责任 |
| Scope | 定义范围,并预测使用持续时间 |
| 目的 | 为一个目的创建服务帐户 |
| Permissions | 应用最低权限原则: - 不向内置组分配权限,例如管理员 - 删除本地计算机权限,如果可行 - 定制访问权限,并使用 AD 委派进行目录访问 - 使用精细访问权限 - 设置帐户过期和基于用户的服务帐户的位置限制 |
| 监视和审核使用情况 | - 监视登录数据,并确保它与预期使用情况匹配 - 为异常使用情况 设置警报 |
用户帐户限制
对于用作服务帐户的用户帐户,请应用以下设置:
- 帐户过期 - 将服务帐户设置为在审核期后自动过期,除非该帐户可以继续
-
LogonWorkstations - 限制服务帐户登录权限
- 如果它在本地运行并访问计算机上的资源,请限制它从其他位置登录
- 无法更改密码 - 将参数设置为 true 以防止服务帐户更改其自己的密码
生命周期管理过程
为了帮助维护服务帐户安全性,请从一开始就管理它们,使其停用。 使用以下过程:
- 收集帐户使用情况信息。
- 将服务帐户和应用移动到配置管理数据库(CMDB)。
- 执行风险评估或正式评审。
- 创建服务帐户并应用限制。
- 计划和执行定期评审。
- 根据需要调整权限和范围。
- 取消预配帐户。
收集服务帐户使用情况信息
收集每个服务帐户的相关信息。 下表列出了要收集的最低信息。 获取验证每个帐户所需的内容。
| Data | Description |
|---|---|
| 所有者 | 服务帐户的用户或组负责 |
| 目的 | 服务帐户的用途 |
| 权限(范围) | 预期权限 |
| CMDB 链接 | 具有目标脚本或应用程序以及所有者的跨链接服务帐户 |
| Risk | 安全风险评估的结果 |
| 辈子 | 计划帐户过期或重新认证的预期最长生存期 |
发出帐户请求自助服务,并要求相关信息。 所有者是应用程序或业务所有者、IT 团队成员或基础结构所有者。 可以将 Microsoft Forms 用于请求和关联信息。 如果帐户获得批准,请使用 Microsoft Forms 将其移植到配置管理数据库 (CMDB) 清单工具。
服务帐户和 CMDB
将收集的信息存储在 CMDB 应用程序中。 包括基础结构、应用和进程的依赖项。 使用此中央存储库可以:
- 评估风险
- 使用限制配置服务帐户
- 确定功能和安全依赖项
- 定期审查安全性和持续需求
- 请联系所有者查看、停用和更改服务帐户
HR 方案示例
例如,运行有权连接到人力资源 SQL 数据库的网站的服务帐户。 服务帐户 CMDB 中的信息(包括示例)如下表所示:
| Data | Example |
|---|---|
| 所有者,副手 | 名称、名称 |
| 目的 | 运行 HR 网页并连接到 HR 数据库。 在访问数据库时模拟最终用户。 |
| 权限、范围 | HR-WEBServer:在本地登录;运行网页 HR-SQL1:在本地登录;对 HR 数据库的读取权限 HR-SQL2:在本地登录;仅对 Salary 数据库具有读取权限 |
| 成本中心 | 123456 |
| 已评估风险 | 中等;业务影响:中等;私有信息;中等 |
| 帐户限制 | 登录:仅上述服务器;无法更改密码;MBI-Password 策略; |
| 辈子 | 无限制的 |
| 审阅周期 | Biannually:由所有者、安全团队或隐私团队 |
服务帐户风险评估或正式评审
如果帐户遭到未经授权的源泄露,请评估关联应用程序、服务和基础结构的风险。 考虑直接和间接风险:
- 未经授权的用户可以访问的资源
- 服务帐户可以访问的其他信息或系统
- 帐户可以授予的权限
- 权限更改时的指示或信号
风险评估后,文档可能会显示风险会影响帐户:
- Restrictions
- 辈子
- 查看要求
- 节奏和审阅者
创建服务帐户并应用帐户限制
注释
在风险评估后创建服务帐户,并在 CMDB 中记录调查结果。 将帐户限制与风险评估结果保持一致。
请考虑以下限制,尽管有些限制可能与评估无关。
- 对于用作服务帐户的用户帐户,请定义实际的结束日期
- 使用 “帐户过期” 标志设置日期
- 了解详细信息: Set-ADAccountExpiration
- 请参阅 Set-ADUser(Active Directory)
- 密码策略要求
- 在组织单位位置创建帐户,确保只有一些用户对其进行管理
- 请参阅, 委派帐户 OU 和资源 OU 的管理
- 设置并收集检测服务帐户更改的审核:
- 请参阅 审核目录服务更改和
- 转到 manageengine.com 了解如何在 AD 中审核 Kerberos 身份验证事件
- 在帐户进入生产环境之前,请更安全地授予帐户访问权限
服务帐户评审
计划定期服务帐户评审,尤其是那些分类的中风险和高风险帐户。 评论可以包括:
- 所有者证明帐户的需求,并证明权限和范围的理由
- 隐私和安全团队评审,其中包括上游和下游依赖项
- 审核数据评审
- 确保帐户用于其说明目的
取消预配服务帐户
在以下情况下取消预配服务帐户:
- 停用为其创建了服务帐户的脚本或应用程序
- 停用使用服务帐户的脚本或应用程序函数
- 替换另一个服务帐户
取消预配:
- 删除权限和监视。
- 检查相关服务帐户的登录和资源访问,以确保对它们没有任何潜在影响。
- 阻止帐户登录。
- 确保不再需要该帐户(没有投诉)。
- 创建一个业务策略,确定帐户被禁用的时间量。
- 删除服务帐户。
-
MSA - 请参阅 Uninstall-ADServiceAccount
- 使用 PowerShell,或者从托管服务帐户容器中手动删除它
- 计算机或用户帐户 - 从 Active Directory 手动删除帐户
后续步骤
若要详细了解如何保护服务帐户,请参阅以下文章: