Quais são as melhores práticas para contas de serviço?

Estamos executando vários serviços em nossa empresa usando uma conta de domínio compartilhado. Infelizmente, as credenciais para esta conta são amplamente distribuídas e estão sendo usadas com freqüência para fins de serviço e não-serviço. Isso levou a uma situação em que é possível que os serviços fiquem temporariamente inativos devido ao bloqueio dessa conta compartilhada.

Obviamente, essa situação precisa mudar. O plano é alterar os serviços para executar sob uma nova conta, mas não acho que isso vá longe o suficiente, pois essa conta está sujeita à mesma política de bloqueio.

Minhas perguntas são as seguintes: devemos configurar as contas de serviço de maneira diferente de outras contas de domínio e, se o fizermos, como gerenciamos essas contas. Lembre-se de que estamos executando um domínio de 2003 e atualizar o controlador de domínio não é uma solução viável no curto prazo.

Algumas reflexões:

• Uma conta por serviço, ou talvez por tipo de serviço, dependendo do seu ambiente.

• Contas devem ser contas de domínio.

• As contas devem ter uma senha forte que não expire *. Idealmente, gere uma senha aleatória que seja gravada em algum lugar (o KeePass é bom para isso) para tornar difícil para as pessoas usá-la para fazer logon. Falando nisso...

• ... (em geral) a conta deve ser membro de um grupo que não tem o direito de fazer logon interativamente. Isso pode ser controlado via Diretiva de Grupo.

• Lembre-se do princípio do menor privilégio. As contas devem ter os direitos necessários para realizar seu trabalho e não mais . Respeitando isso, como indica o rosto gravy, use as contas internas sempre que possível. Local Servicequando o acesso à rede não for necessário. Network Serviceao acessar a rede, a conta da máquina estará segura o suficiente e evite usá-la sempre Local Systemque possível.

* A menos que a política de segurança da sua empresa não seja compatível com isso, mas pelo que parece, provavelmente é :-)