Quelles sont les meilleures pratiques pour les comptes de service?

9

Nous exécutons plusieurs services dans notre entreprise à l'aide d'un compte de domaine partagé. Malheureusement, les informations d'identification de ce compte sont largement diffusées et sont fréquemment utilisées à des fins de service et hors service. Cela a conduit à une situation où il est possible que les services soient temporairement arrêtés en raison du verrouillage de ce compte partagé.

De toute évidence, cette situation doit changer. Le plan est de changer les services pour qu'ils fonctionnent sous un nouveau compte, mais je ne pense pas que cela aille assez loin, car ce compte est soumis à la même politique de verrouillage.

Ma question est la suivante: devrions-nous configurer les comptes de service différemment des autres comptes de domaine, et si nous le faisons, comment gérer ces comptes. N'oubliez pas que nous exécutons un domaine 2003 et que la mise à niveau du contrôleur de domaine n'est pas une solution viable à court terme.

windows-server-2003  active-directory  best-practices 
LockeCJ
source

Réponses:

7

Quelques réflexions:

  • Un compte par service, ou peut-être par type de service selon votre environnement.

  • Les comptes doivent être des comptes de domaine.

  • Les comptes doivent avoir un mot de passe fort qui n'expire pas *. Idéalement, générez un mot de passe aléatoire qui est enregistré quelque part (KeePass est bon pour cela) pour que les gens l'utilisent difficilement pour se connecter. En parlant de ça ...

  • ... (En général), le compte doit être membre d'un groupe qui n'a pas les droits de connexion interactive. Cela peut être contrôlé via la stratégie de groupe.

  • Gardez à l'esprit le principe du moindre privilège. Les comptes devraient avoir les droits dont ils ont besoin pour faire leur travail et pas plus . En gardant cela, comme le souligne gravyface, utilisez les comptes intégrés dans la mesure du possible. Local Servicelorsque l'accès au réseau n'est pas requis. Network Servicelors de l'accès au réseau, car le compte d'ordinateur sera suffisamment sécurisé et évitez d'utiliser le Local Systemcompte si possible.

* Sauf si la politique de sécurité de votre entreprise n'est pas compatible avec cela, mais par le bruit des choses, c'est probablement :-)

Chris McKeown
source
Si un pirate obtient SYSTEM, il / elle peut facilement injecter sa charge utile dans n'importe quel processus ou service fonctionnant en tant que compte de domaine et avec cela, avoir n'importe quel accès que cet utilisateur de domaine particulier a. J'utilise généralement LocalService lorsque je n'ai pas besoin d'un accès au réseau (instance SQL exécutée localement par exemple).
gravyface
1
@gravyface C'est un bon point. Je tends à penser des comptes de service spécifique comme « des services qui ne peuvent pas utiliser les fonctions intégrées dans les comptes » il est donc la peine de faire cette distinction
Chris McKeown
Est-il possible de désactiver le verrouillage au niveau de la stratégie de groupe, en 2003? Est-ce une bonne idée?
LockeCJ
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.