Hizmet hesabı kimlik bilgilerini (şifreler) nasıl yönetirsiniz? [kapalı]

9

Windows ortamında, hizmet hesaplarıyla ilgili aşağıdaki sorunları nasıl ele alırsınız?

  1. Düzenli Parola değişiklikleri - birden fazla makinede kullanılan tek hizmet hesaplarıyla, önemli kesinti süreleri olmadan parolaları nasıl düzenli olarak değiştirirsiniz? Sadece onları asla değiştirme eğiliminde misiniz?
  2. Şifreleri takip etmek - birden fazla insanın bunları bilmesi gerekir, şifreleri makul bir şekilde gizli tutarken nasıl kaydedersiniz?
  3. Aynı hesabı birden çok makine / hizmette hangi noktada kullanıyorsunuz? Hangi hesabın nerede kullanıldığını nasıl izliyorsunuz? Bu konuda yardımcı olacak herhangi bir araç var mı?
  4. Herkes SQL Server, Sharepoint vb. Uygulamalar için ortak servis hesabı gereksinimleri için uygun minimum izin ayarları için iyi kaynaklar buldu mu?
windows  security  active-directory  password 
Joel Mansford
kaynak
Sanırım 4. nokta biraz konu dışı. Asıl endişem nokta 1'dir. Kesinti olmadan şifreleri nasıl değiştirebileceğinizi göremiyorum.
Joel Mansford
Nokta 4 konu dışı olsa bile, ben hala bu konu takip etmek isterim. Bir hizmet hesabıyla etkileşimli oturum açmaların nasıl önleneceğini ararken bu soruyu buldum. Bir GPO ayarı olduğunu düşündüm, ancak henüz bulamadım.
Nathan Hartley

Yanıtlar:

3

Müşterilerimizin çoğu servis hesaplarını yönetmek için Secret Server kullanıyor.

Hizmet hesaplarınızın nerede kullanıldığını otomatik olarak keşfeder (ağınızı kullanım için tarar) ve daha sonra bu Windows Hizmetleri kimlik bilgisi için bir "bağımlılık" olarak eklenebilir. Bir sona erme programı ayarlanabilir (her 30 günde bir) ve ardından AD hizmeti hesabı için otomatik olarak yeni bir rasgele parola oluşturur ve kullandığı tüm yerleri değiştirir (hatta Windows Hizmetlerini durdurup yeniden başlatır). Gizli Sunucu ayrıca IIS Uygulama Havuzu kullanıcılarını ve Windows Zamanlanmış Görevleri "bağımlılıklar" olarak destekler.

Buradan 30 günlük ücretsiz deneme sürümünü edinin : http://www.thycotic.com

4

Her yerde Server 2008 R2'ye geçme ^^ (tamam, belki değil - ama bu karışıklığı çözmeyi vaat eden Yönetilen Hizmet Hesabı ve Sanal Hesap özelliklerinden bahsetmem gerektiğini düşündüm )

Oskar Duveborn
kaynak
Bunun için teşekkürler, R2'nin özellikler listesinde bunu fark etmemiştim. Ben büyük bir Server 2008 (R1) hayranıyım. Win7 RC ile karşılaştırıldığında 2008 R2 beta'nın kararlılığı ve performansından biraz hayal kırıklığına uğradım - umarım piyasaya sürüldüğünde iyi olur
Joel Mansford
2

Joel

Hizmet hesapları için şifrelerin döndürülmesini yönetmek için bir üçüncü taraf uygulaması kullanıyoruz. Uygulama şifreleri izler, yenilerini oluşturur ve gerektiğinde ve gerektiğinde şifrelere erişebilmeniz için bir kasa sunar.

Mümkün olduğunca hizmet hesaplarını yeniden kullanmaya çalışıyoruz ve hesap oluşturma sürecinin bir parçası olarak insanların doldurması gereken bir formumuz var. form gönderildiğinde kaydedilir ve oluşturulan hesap formla birlikte kaydedilir. bu şekilde, hesabı kimin kullandığını veya neden oluşturulduğunu bilmemiz gerekirse, araştırabiliriz. Ayrıca AD'deki yönetici alanının doğru bir şekilde doldurulduğundan ve yöneticilere hangi hizmet hesaplarından sorumlu olduklarını bilme görevi verildiğinden emin oluruz.

MSDN, yaygın hizmet hesabı ayarları için gereken minimum izinlerle ilgili zengin bir bilgiye sahip olacaktır. Her zaman olduğu gibi, bu ayarları nasıl yapılandıracağınız ortamınızın gereksinimlerine bağlıdır.

SQLRockstar
kaynak
Bunun için hangi üçüncü taraf aracını kullandığınıza dair bir fikrin var mı?
Joel Mansford
SQLRockstar
0

Ben passgen.exe tavsiye bilgi Burada İndir Sadece eşlik eden belgeyi gidin. Birden çok bilgisayarda parolayı değiştirmek ve bunları benzersiz ve karmaşık tutmanın ne kadar kolay olduğu konusunda kesin bir senaryo sunar.

KAPes
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.