Quais são as melhores práticas para contas de serviço?

9

Estamos executando vários serviços em nossa empresa usando uma conta de domínio compartilhado. Infelizmente, as credenciais para esta conta são amplamente distribuídas e estão sendo usadas com freqüência para fins de serviço e não-serviço. Isso levou a uma situação em que é possível que os serviços fiquem temporariamente inativos devido ao bloqueio dessa conta compartilhada.

Obviamente, essa situação precisa mudar. O plano é alterar os serviços para executar sob uma nova conta, mas não acho que isso vá longe o suficiente, pois essa conta está sujeita à mesma política de bloqueio.

Minhas perguntas são as seguintes: devemos configurar as contas de serviço de maneira diferente de outras contas de domínio e, se o fizermos, como gerenciamos essas contas. Lembre-se de que estamos executando um domínio de 2003 e atualizar o controlador de domínio não é uma solução viável no curto prazo.

LockeCJ
fonte

Respostas:

7

Algumas reflexões:

  • Uma conta por serviço, ou talvez por tipo de serviço, dependendo do seu ambiente.

  • Contas devem ser contas de domínio.

  • As contas devem ter uma senha forte que não expire *. Idealmente, gere uma senha aleatória que seja gravada em algum lugar (o KeePass é bom para isso) para tornar difícil para as pessoas usá-la para fazer logon. Falando nisso...

  • ... (em geral) a conta deve ser membro de um grupo que não tem o direito de fazer logon interativamente. Isso pode ser controlado via Diretiva de Grupo.

  • Lembre-se do princípio do menor privilégio. As contas devem ter os direitos necessários para realizar seu trabalho e não mais . Respeitando isso, como indica o rosto gravy, use as contas internas sempre que possível. Local Servicequando o acesso à rede não for necessário. Network Serviceao acessar a rede, a conta da máquina estará segura o suficiente e evite usá-la sempre Local Systemque possível.

* A menos que a política de segurança da sua empresa não seja compatível com isso, mas pelo que parece, provavelmente é :-)

Chris McKeown
fonte
Se um hacker obtiver o SYSTEM, ele poderá injetar facilmente a carga útil em qualquer processo ou serviço executado como uma conta de domínio e, com isso, ter qualquer acesso que esse usuário específico do domínio tenha. Normalmente, uso o LocalService quando não preciso de acesso à rede (executando instância SQL localmente, por exemplo).
Gravyface 28/09/12
1
@gravyface Este é um bom ponto. Eu costumo pensar em contas de serviço específicas como 'serviços que não podem usar as contas integradas', por isso vale a pena fazer essa distinção
317 Chris McKeown
É possível desativar o bloqueio no nível da diretiva de grupo em 2003? isso é uma boa ideia?
LockeCJ