Ich erstelle Gruppenrichtlinien für eine neue Domäne, auf die wir migrieren. In unserer aktuellen Umgebung werden die Einstellungen Als Dienst anmelden auf der Ebene der Server- Organisationseinheit festgelegt. In diesem Feld befinden sich ungefähr hundert Dienstkonten, um auf dieses Recht zugreifen zu können.
Ich möchte dies weiter unten in unserer OU-Baumstruktur festlegen (wir trennen Server basierend auf der von ihnen ausgeführten Anwendung heraus), aber einige unserer internen Mitarbeiter möchten diese Richtlinie überhaupt nicht festlegen. IE: Überprüfen Sie die Einstellung in der Gruppenrichtlinie nicht und lassen Sie die lokalen Server damit umgehen, welche Konten für diese Einstellung in die lokale Richtlinie aufgenommen werden. Unser internes Sicherheitsteam möchte, dass es wie ich festgelegt wird, aber zu den wenigen Personen, die es nicht festlegen möchten, gehört ein Architekt - daher der Konflikt.
Ich habe mich mit dem Microsoft Premier-Support (der keine offizielle Antwort für mich hatte), internen Mitarbeitern, externen IT-Freunden und stundenlangen Internetrecherchen beraten. Ich kann jedoch keine Informationen darüber finden, ob diese Richtlinie überhaupt festgelegt werden sollte. Mein Instinkt ist es, dies über ein Gruppenrichtlinienobjekt zu verwalten, damit es einfach von einem Ort aus geprüft und verwaltet werden kann (unser Unternehmen durchläuft von Zeit zu Zeit verschiedene externe Prüfungen).
Die Microsoft-Ressourcenseite: https://technet.microsoft.com/en-us/library/dn221981.aspx enthält die einzigen Informationen, die ich darüber finden kann. Sie soll jedoch die Anzahl der Konten minimieren, denen dieses Benutzerrecht gewährt wird . Das scheint mir ein bisschen mehrdeutig ...
Kann mir bitte jemand sagen, was er über diese Einstellungen denkt?
quelle
Antworten:
Der von Ihnen verlinkte Artikel enthält eine Erläuterung der Rechte, die die Anmeldung als Dienst bietet:
Kurz gesagt, Sie möchten dieses Recht nur den Konten gewähren, die es benötigen. Standardmäßig sind dies die Konten für lokales System, lokalen Dienst und Netzwerkdienst, da diese Dienste standardmäßig ausgeführt werden.
Wenn Sie einen Dienst in einem anderen Sicherheitskontext ausführen möchten (z. B. ein von Ihnen erstelltes Dienstkonto), möchten Sie diesem Dienstkonto die Berechtigung " Anmelden als Dienst" gewähren, damit Ihr Dienst ausgeführt werden kann, ohne dass ein Benutzer erforderlich ist angemeldet. Der Artikel, den Sie verlinken, enthält IIS und ASP.NET als Beispiele, bei denen zusätzlichen Konten dieses Recht gewährt wird. Dies gilt auch für Programme von Drittanbietern, die ebenfalls als Dienste ausgeführt werden.
Wenn Sie nicht jeden Dienst als SYSTEM oder NetworkService ausführen möchten, richten Sie Dienstkonten für einzelne Dienste ein und weisen ihnen dieses Recht zum Anmelden als Dienst zu . Der Hauptvorteil der Verwendung von Dienstkonten auf diese Weise besteht darin, dass Ihr Dienst, wenn er kompromittiert wird, im Sicherheitskontext des Kontos ausgeführt wird, in dem er ausgeführt wird, und nicht im Sicherheitskontext auf SYSTEM-Ebene, über den SYSTEM und NetworkService verfügen.
Die beste Vorgehensweise besteht daher darin, dieses Recht nur Konten zuzuweisen, unter denen Dienste ausgeführt werden, und einzelne Dienste unter Dienstkonten auszuführen, die nach dem Prinzip der geringsten Berechtigungen konfiguriert sind (geben Sie ihnen nur die Berechtigungen, die sie zum Ausführen benötigen; geben Sie ihnen keine Administrator- oder SYSTEM-Berechtigungen). Ich würde hinzufügen, dass die Steuerung durch das Gruppenrichtlinienobjekt der sicherere Ansatz ist. Wenn es lokal auf jedem Server gesteuert wird, kann jeder, der Administratorrechte auf einem Server erhält, steuern, welche Konten Dienste auf diesem Server ausführen können, während für die Durchsetzung über das Gruppenrichtlinienobjekt die entsprechenden Domänenrechte auf Domänenebene erforderlich sind.
quelle
"Dieses Benutzerrecht ist im Gruppenrichtlinienobjekt (Default Domain Controller Group Policy Object, GPO) und in der lokalen Sicherheitsrichtlinie von Arbeitsstationen und Servern definiert. Standardmäßig haben keine Konten das Recht, sich als Dienst anzumelden."
https://technet.microsoft.com/en-us/library/cc957141.aspx
Konten, die nicht in dieser Liste enthalten sind, sollten sich nicht als Dienst anmelden können. Wenn Sie also die Liste löschen, sollten Ihre Dienste mit Dienstkonten nicht mehr gestartet werden können.
Ich neige dazu, eine Dienstkontogruppe zu erstellen und diese in die Richtlinie aufzunehmen. Es reduziert die Häufigkeit, mit der ich Änderungen an der Richtlinie selbst vornehmen muss. Und wie Sie sagten, ist es viel einfacher zu überwachen, als es Server für Server einstellen zu lassen.
quelle