Hizmet hesapları için en iyi uygulamalar nelerdir?

9

Paylaşılan bir etki alanı hesabı kullanarak şirketimizde çeşitli hizmetler yürütüyoruz. Ne yazık ki, bu hesabın kimlik bilgileri yaygın bir şekilde dağıtılmakta ve hem hizmet hem de hizmet dışı amaçlar için sık sık kullanılmaktadır. Bu, bu paylaşılan hesabın kilitlenmesi nedeniyle hizmetlerin geçici olarak kapatılmasının mümkün olduğu bir duruma yol açtı.

Açıkçası, bu durumun değişmesi gerekiyor. Plan, hizmetleri yeni bir hesap altında çalışacak şekilde değiştirmektir, ancak bu hesap aynı kilitleme politikasına tabi olduğu için bunun yeterli olduğunu düşünmüyorum.

Sorularım şudur: Hizmet hesaplarını diğer etki alanı hesaplarından farklı şekilde ayarlamalıyız ve yaparsak, bu hesapları nasıl yönetiriz. 2003 etki alanı çalıştırdığımızı ve etki alanı denetleyicisini yükseltmenin yakın vadede uygun bir çözüm olmadığını lütfen unutmayın.

windows-server-2003  active-directory  best-practices 
LockeCJ
kaynak

Yanıtlar:

7

Birkaç düşünce:

  • Ortamınıza bağlı olarak hizmet başına bir hesap veya belki de hizmet türü başına.

  • Hesaplar, etki alanı hesapları olmalıdır.

  • Hesapların süresi dolmayan güçlü bir parolası olmalıdır *. İdeal olarak bir yere kaydedilen rastgele bir şifre oluşturun (KeePass bunun için iyidir), insanların oturum açmak için kullanması için bir acıdır. Konuşan ...

  • ... (Genel olarak) hesap, etkileşimli olarak oturum açma haklarına sahip olmayan bir grubun üyesi olmalıdır. Bu, Grup İlkesi aracılığıyla denetlenebilir.

  • En az ayrıcalık ilkesini unutmayın. Hesaplar, işlerini yapmak için ihtiyaç duydukları haklara sahip olmalı ve daha fazla olmamalıdır . Gravyface belirttiği gibi, bununla ilgilenmek mümkün olduğunca yerleşik hesapları kullanın. Local Serviceağ erişimi gerekli olmadığında. Network Servicemakine hesabı olarak ağa erişirken yeterince güvenli olacak ve Local Systemmümkün olan yerlerde hesabı kullanmaktan kaçınacaktır .

* Şirket güvenlik politikanız bununla uyumlu olmadığı sürece, ama işlerin sesi ile muhtemelen :-)

Chris McKeown
kaynak
Bir bilgisayar korsanı SYSTEM alırsa, yüklerini bir etki alanı hesabı olarak çalışan herhangi bir işleme veya hizmete kolayca enjekte edebilir ve bununla, söz konusu etki alanı kullanıcısının sahip olduğu her erişime sahip olabilir. Ağ erişimi (örneğin yerel olarak SQL örneği çalıştıran) gerekmediğinde genellikle LocalService kullanın.
gravyface
1
@gravyface Bu iyi bir nokta. Belirli hizmet hesaplarını 'yerleşik hesapları kullanamayan hizmetler' olarak düşünme eğilimindeyim, bu yüzden bu ayrımı yapmaya değer
Chris McKeown
2003'te grup ilkesi düzeyinde kilitlemeyi devre dışı bırakmak mümkün müdür? Bu iyi bir fikir mi?
LockeCJ
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.