Каковы лучшие практики для учетных записей служб?

9

В нашей компании работает несколько служб, использующих учетную запись общего домена. К сожалению, учетные данные для этой учетной записи широко распространены и часто используются как в служебных, так и не служебных целях. Это привело к ситуации, когда возможно временное отключение служб из-за блокировки этой общей учетной записи.

Очевидно, что эта ситуация должна измениться. План состоит в том, чтобы изменить службы для запуска под новой учетной записью, но я не думаю, что это заходит достаточно далеко, так как эта учетная запись подчиняется той же политике блокировки.

У меня следующие вопросы: должны ли мы настраивать учетные записи служб иначе, чем другие учетные записи домена, и если мы это сделаем, как мы будем управлять этими учетными записями. Помните, что мы работаем с доменом 2003 года, и в ближайшее время обновление контроллера домена не является жизнеспособным решением.

windows-server-2003 active-directory best-practices LockeCJ
источник

Ответы:

7

Несколько мыслей:

  • Одна учетная запись на службу или, возможно, на тип службы в зависимости от вашей среды.

  • Учетные записи должны быть учетными записями домена.

  • Учетные записи должны иметь надежный пароль, срок действия которого не истекает *. В идеале генерируйте случайный пароль, который где-то записывается (KeePass хорош для этого), чтобы людям было неудобно использовать его для входа в систему. Говоря о которых...

  • ... (В общем случае) учетная запись должна быть членом группы, которая не имеет прав для интерактивного входа в систему. Это можно контролировать с помощью групповой политики.

  • Имейте в виду принцип наименьших привилегий. Учетные записи должны иметь права, необходимые для выполнения своей работы, и не более того . В дополнение к этому, как указывает gravyface, по возможности используйте встроенные учетные записи. Local Serviceкогда доступ к сети не требуется. Network Serviceпри доступе к сети учетная запись машины будет достаточно защищена, и по возможности избегайте ее использования Local System.

* Если ваша политика безопасности не совместима с этим, но, судя по всему, это так :-)

Крис МакКаун
источник
Если хакер получает SYSTEM, он / она может легко внедрить свою полезную нагрузку в любой процесс или службу, выполняющуюся как учетная запись домена, и с этим иметь любой доступ, который имеет конкретный пользователь домена. Обычно я использую LocalService, когда мне не нужен доступ к сети (например, локально запущенный экземпляр SQL).
gravyface
1
@gravyface Это хороший момент. Я склонен думать о конкретных учетных записях служб как о «службах, которые не могут использовать встроенные учетные записи», поэтому стоит провести такое различие
Крис МакКаун
Можно ли отключить блокировку на уровне групповой политики в 2003 году? Это хорошая идея?
LockeCJ