Como você gerencia credenciais de conta de serviço (senhas)? [fechadas]

9

Em um ambiente Windows, como você lida com os seguintes problemas com contas de serviço?

  1. Alterações regulares da senha - com contas de serviço únicas usadas em várias máquinas, como você altera as senhas regularmente sem períodos de interrupção significativos? Você tende a nunca mudá-los?
  2. Mantendo o controle de senhas - por necessidade, várias pessoas precisam conhecê-las, como você registra as senhas enquanto as mantém razoavelmente secretas?
  3. Até que ponto você usa a mesma conta em várias máquinas / serviços? Como você controla qual conta está sendo usada onde? Alguma ferramenta para ajudar com isso?
  4. Alguém encontrou bons recursos para configurações de permissão mínima apropriada para requisitos comuns de conta de serviço para aplicativos como SQL Server, Sharepoint etc.
windows security active-directory password Joel Mansford
fonte
Eu acho que o ponto 4 é um pouco fora de tópico. Minha principal preocupação é o ponto 1. Não vejo como você pode alterar as senhas sem uma interrupção.
Joel Mansford
Mesmo se o ponto 4 estiver fora do tópico, eu ainda adoraria seguir esse tópico. Encontrei essa pergunta enquanto procurava como impedir logons interativos com uma conta de serviço. Eu pensei que havia uma configuração de GPO, mas ainda não a encontrei.
18413 Nathan Hartley

Respostas:

3

Muitos de nossos clientes usam o Secret Server para gerenciar suas contas de serviço.

Ele pode descobrir automaticamente onde suas contas de serviço são usadas (varrerá sua rede em busca de usos) e, em seguida, esses Serviços do Windows poderão ser adicionados como uma "dependência" da credencial. Uma programação de expiração pode ser definida (digamos a cada 30 dias) e, em seguida, gerará automaticamente uma nova senha aleatória para a conta de serviço do AD e mudará todos os locais usados ​​(até parando e reiniciando os Serviços do Windows). O Servidor Secreto também suporta usuários do Pool de Aplicativos IIS e Tarefas Agendadas do Windows como "dependências".

Obtenha uma avaliação gratuita de 30 dias aqui: http://www.thycotic.com


fonte
4

Mudando para o Server 2008 R2 em toda a parte ^^ (ok, talvez não - mas pensei em mencionar os recursos Conta de Serviço Gerenciado e Conta Virtual , que prometem resolver essa bagunça)

Oskar Duveborn
fonte
Obrigado por isso, eu não havia notado isso na lista de recursos do R2. Sou um grande fã do Server 2008 (R1). Eu estava um pouco decepcionado com a estabilidade e desempenho de 2008 R2 beta em comparação com o Win7 RC - vamos esperar que é bom quando eles liberá-lo
Joel Mansford
2

Joel,

Utilizamos um aplicativo de terceiros para gerenciar a rotação de senhas para contas de serviço. O aplicativo rastreia as senhas, cria novas e oferece um cofre para que você possa acessar as senhas, se e quando necessário.

Tentamos reutilizar as contas de serviço quando possível e, como parte do processo de criação da conta, temos um formulário que as pessoas precisam preencher. quando o formulário é enviado, ele é salvo e a conta criada é salva com o formulário. Dessa forma, se precisarmos saber quem usa a conta ou por que ela foi criada, podemos pesquisar. também garantimos que o campo de gerente no AD seja preenchido corretamente e os gerentes recebam a tarefa de saber por quais contas de serviço são responsáveis.

O MSDN teria muitas informações sobre as permissões mínimas necessárias para configurações comuns de contas de serviço. Como sempre, a forma como você define essas configurações depende das necessidades do seu ambiente.

SQLRockstar
fonte
Alguma idéia de qual ferramenta de terceiros você usa para isso?
Joel Mansford
Certamente, cyber-ark.com
SQLRockstar
0

Eu recomendaria o passgen.exe Baixar informações aqui Basta acessar o documento que o acompanha. Ele fornece um cenário preciso de alteração de senha em vários computadores e como é fácil mantê-los únicos e complexos.

KAPes
fonte