Quali sono le migliori pratiche per gli account di servizio?

9

Stiamo eseguendo diversi servizi nella nostra azienda utilizzando un account di dominio condiviso. Sfortunatamente, le credenziali per questo account sono ampiamente distribuite e vengono utilizzate frequentemente sia per scopi di servizio che non. Ciò ha portato a una situazione in cui è possibile che i servizi vengano temporaneamente disattivati ​​a causa del blocco di questo account condiviso.

Ovviamente, questa situazione deve cambiare. Il piano è quello di cambiare i servizi per l'esecuzione con un nuovo account, ma non credo che questo vada abbastanza lontano, poiché tale account è soggetto alla stessa politica di blocco.

La mia domanda è questa: dovremmo configurare gli account di servizio in modo diverso rispetto agli altri account di dominio e, in caso affermativo, come gestirli. Tieni presente che stiamo eseguendo un dominio 2003 e che l'aggiornamento del controller di dominio non è una soluzione praticabile a breve termine.

windows-server-2003  active-directory  best-practices 
LockeCJ
fonte

Risposte:

7

Alcuni pensieri:

  • Un account per servizio o forse per tipo di servizio in base al proprio ambiente.

  • Gli account dovrebbero essere account di dominio.

  • Gli account devono avere una password complessa che non scade *. Generare idealmente una password casuale che venga registrata da qualche parte (KeePass è utile per questo) per rendere doloroso l'utilizzo da parte delle persone per l'accesso. A proposito...

  • ... (In generale) l'account dovrebbe essere un membro di un gruppo che non ha i diritti per accedere in modo interattivo. Questo può essere controllato tramite Criteri di gruppo.

  • Tieni presente il principio del privilegio minimo. Gli account dovrebbero avere i diritti di cui hanno bisogno per fare il loro lavoro e non di più . In questo modo, come sottolineato da gravyface, utilizzare gli account incorporati ove possibile. Local Servicequando non è richiesto l'accesso alla rete. Network Servicequando si accede alla rete poiché l'account del computer sarà abbastanza sicuro ed evitare di utilizzare l' Local Systemaccount ove possibile.

* A meno che la politica di sicurezza della tua azienda non sia compatibile con questo, ma dal suono delle cose probabilmente lo è :-)

Chris McKeown
fonte
Se un hacker ottiene SYSTEM, può facilmente iniettare il proprio payload in qualsiasi processo o servizio in esecuzione come account di dominio e con ciò, avere qualunque accesso a quel particolare utente del dominio. In genere utilizzo LocalService quando non ho bisogno dell'accesso alla rete (ad esempio, eseguendo localmente un'istanza SQL).
gravyface,
1
@gravyface Questo è un buon punto. Tendo a pensare a specifici account di servizio come "servizi che non possono utilizzare gli account integrati", quindi vale la pena fare questa distinzione
Chris McKeown,
È possibile disabilitare il blocco a livello di criteri di gruppo, nel 2003? E 'questa una buona idea?
LockeCJ
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.