Apa praktik terbaik untuk akun layanan?

9

Kami menjalankan beberapa layanan di perusahaan kami menggunakan akun domain bersama. Sayangnya, kredensial untuk akun ini didistribusikan secara luas dan sering digunakan untuk tujuan layanan dan non-layanan. Ini telah mengarah pada situasi di mana ada kemungkinan bahwa layanan akan turun sementara karena akun bersama ini dikunci.

Jelas, situasi ini perlu diubah. Rencananya adalah mengubah layanan untuk berjalan di bawah akun baru, tapi saya rasa ini tidak cukup jauh, karena akun itu tunduk pada kebijakan penguncian yang sama.

Pertanyaan saya adalah ini: Haruskah kita membuat akun layanan berbeda dari akun domain lain, dan jika kita lakukan, bagaimana kita mengelola akun tersebut. Harap diingat bahwa kami menjalankan domain 2003, dan memutakhirkan pengontrol domain bukan solusi yang layak dalam waktu dekat.

LockeCJ
sumber

Jawaban:

7

Beberapa pemikiran:

  • Satu akun per layanan, atau mungkin per jenis layanan tergantung pada lingkungan Anda.

  • Akun harus akun domain.

  • Akun harus memiliki kata sandi yang kuat yang tidak kedaluwarsa *. Idealnya buat kata sandi acak yang direkam di suatu tempat (KeePass bagus untuk ini) untuk membuatnya susah bagi orang-orang untuk menggunakannya untuk masuk. Ngomong-ngomong soal...

  • ... (Secara umum) akun harus menjadi anggota grup yang tidak memiliki hak untuk masuk secara interaktif. Ini dapat dikontrol melalui Kebijakan Grup.

  • Ingatlah prinsip hak istimewa yang paling rendah. Akun harus memiliki hak yang mereka butuhkan untuk melakukan pekerjaan mereka dan tidak lebih . Dengan mempertahankan ini, seperti yang ditunjukkan oleh gravyface, gunakan akun bawaan jika memungkinkan. Local Serviceketika akses jaringan tidak diperlukan. Network Serviceketika mengakses jaringan karena akun mesin akan cukup aman, dan hindari menggunakan Local Systemakun jika memungkinkan.

* Kecuali jika kebijakan keamanan perusahaan Anda tidak kompatibel dengan ini, tetapi menurut suara hal itu mungkin adalah :-)

Chris McKeown
sumber
Jika seorang hacker mendapatkan SISTEM, ia dapat dengan mudah menyuntikkan muatan mereka ke dalam proses atau layanan apa pun yang berjalan sebagai akun domain dan dengan itu, memiliki akses apa pun yang dimiliki pengguna domain tertentu. Saya biasanya menggunakan LocalService ketika saya tidak memerlukan akses jaringan (misalnya menjalankan SQL lokal misalnya).
gravyface
1
@gravyface Ini poin bagus. Saya cenderung menganggap akun layanan tertentu sebagai 'layanan yang tidak dapat menggunakan akun bawaan' jadi layak untuk membuat perbedaan itu
Chris McKeown
Apakah mungkin untuk menonaktifkan penguncian di tingkat kebijakan grup, pada tahun 2003? Apakah ini ide yang bagus?
LockeCJ