Was sind die Best Practices für Servicekonten?

9

Wir führen in unserem Unternehmen mehrere Dienste mit einem gemeinsam genutzten Domain-Konto aus. Leider sind die Anmeldeinformationen für dieses Konto weit verbreitet und werden häufig sowohl für Service- als auch für Nicht-Service-Zwecke verwendet. Dies hat zu einer Situation geführt, in der es möglich ist, dass die Dienste vorübergehend nicht verfügbar sind, weil dieses gemeinsam genutzte Konto gesperrt ist.

Offensichtlich muss sich diese Situation ändern. Es ist geplant, die Dienste so zu ändern, dass sie unter einem neuen Konto ausgeführt werden. Ich denke jedoch, dass dies nicht weit genug geht, da für dieses Konto dieselbe Sperrrichtlinie gilt.

Meine Fragen lauten wie folgt: Sollten wir die Dienstkonten anders einrichten als andere Domänenkonten, und wenn ja, wie verwalten wir diese Konten? Beachten Sie bitte, dass wir eine 2003-Domain betreiben und ein Upgrade des Domain-Controllers kurzfristig keine praktikable Lösung ist.

windows-server-2003 active-directory best-practices LockeCJ
quelle

Antworten:

7

Ein paar Gedanken:

  • Ein Konto pro Dienst oder möglicherweise pro Diensttyp, abhängig von Ihrer Umgebung.

  • Konten sollten Domänenkonten sein.

  • Konten sollten ein sicheres Passwort haben, das nicht abläuft *. Generieren Sie im Idealfall ein zufälliges Passwort, das irgendwo aufgezeichnet wird (KeePass ist dafür gut geeignet), damit es für die Benutzer schwierig wird, es zum Anmelden zu verwenden. Apropos ...

  • ... (im Allgemeinen) Das Konto sollte Mitglied einer Gruppe sein, die nicht berechtigt ist, sich interaktiv anzumelden. Dies kann über Gruppenrichtlinien gesteuert werden.

  • Beachten Sie das Prinzip des geringsten Privilegs. Konten sollten die Rechte haben, die sie für ihre Arbeit benötigen, und nicht mehr . Verwenden Sie nach Möglichkeit die eingebauten Konten, sofern dies möglich ist. Local Servicewenn kein Netzwerkzugriff erforderlich ist. Network ServiceWenn Sie auf das Netzwerk zugreifen, ist das Computerkonto sicher genug, und vermeiden Sie nach Möglichkeit die Verwendung des Local SystemKontos.

* Es sei denn, Ihre Sicherheitsrichtlinie Ihres Unternehmens ist damit nicht kompatibel, aber nach den Geräuschen der Dinge ist es wahrscheinlich :-)

Chris McKeown
quelle
Wenn ein Hacker SYSTEM erhält, kann er seine Nutzdaten problemlos in jeden Prozess oder Dienst einspeisen, der als Domänenkonto ausgeführt wird, und hat damit den Zugriff, den dieser bestimmte Domänenbenutzer hat. Normalerweise verwende ich LocalService, wenn ich keinen Netzwerkzugriff benötige (z. B. lokal ausgeführte SQL-Instanz).
Soße Gesicht
1
@gravyface Das ist ein guter Punkt. Ich neige dazu, bestimmte Dienstkonten als "Dienste, die die eingebauten Konten nicht verwenden können" zu betrachten, daher lohnt es sich, diese Unterscheidung
Chris McKeown,
Ist es möglich, das Sperren auf Gruppenrichtlinienebene im Jahr 2003 zu deaktivieren? Ist das eine gute Idee?
LockeCJ