10 nejlepších postupů pro účty služeb Active Directory

V rámci služby Windows Active Directory lze nastavit řadu různých typů účtů s potřebnými oprávněními, přístupy a rolemi. Patří mezi ně i účty služeb, které jsou určeny k použití při instalaci aplikací nebo služeb operačního systému. Mezi běžné typy servisních účtů služby Active Directory patří vestavěné účty místních uživatelů, účty uživatelů domény, účty spravovaných služeb a virtuální účty. Tyto účty mají širší oprávnění a větší přístup k infrastruktuře než ostatní účty, což je činí zranitelnými vůči zneužití zabezpečení.

typy servisních účtů adresáře Active Directory

V tomto článku uvedu osvědčené postupy pro zajištění bezpečnosti servisních účtů a také vysvětlím, proč je posledním a nejdůležitějším osvědčeným postupem pro servisní účty zajistit, abyste měli k dispozici řešení, jako je Access Rights Manager, které poskytuje kritický přehled o oprávněních služby AD.

Přeskočte dopředu:

  1. Udržujte přístup omezený
  2. Vytvářejte účty služeb od začátku
  3. Neumisťujte účty služeb do vestavěných-privilegovaných skupin
  4. Zakázat servisním účtům přístup k důležitým objektům
  5. Odstranit nepotřebná práva
  6. Nastavit přístup pomocí funkce „Přihlásit se do“
  7. Omezit časové rámce
  8. Kontrolovat hesla konfigurace
  9. Povolit auditování
  10. Zavést software pro správu přístupových práv

Jak fungují účty služby Active Directory

Každý typ účtu služby Active Directory má své vlastní účely fungování.

  • Mezi vestavěné místní uživatelské účty patří účet System (pro místní správu systému), účet Local Service, který přistupuje k síťovým službám bez pověření, a účet Network Service, který přistupuje k síťovým prostředkům pomocí pověření počítače.
  • Doménové uživatelské účty jsou určeny pro použití službami a jsou centrálně spravovány službou Active Directory. Je možné vytvořit uživatelský účet pro jednu službu nebo jej sdílet pro více služeb. U doménových uživatelských účtů však můžete přidělit pouze oprávnění požadovaná službou a je třeba pravidelně obnovovat hesla.
  • Účty služeb spravované službou Active Directory jsou podobné doménovým uživatelským účtům, ale heslo se obnovuje pravidelně a automaticky. U účtů služeb spravovaných službou Active Directory můžete každému počítači přiřadit pouze jeden uživatelský účet a každý účet lze používat s více službami v počítači. Případně můžete pro každou službu vytvořit samostatné účty.

Mezi výhody účtu spravované služby patří zvýšené zabezpečení a snadná údržba. Kromě toho mohou tyto účty spouštět služby v počítači s možností připojit se k síťovým službám jako konkrétní hlavní uživatel. Pro zajištění bezpečnosti je však důležité tyto účty pravidelně kontrolovat a navíc dodržovat osvědčené postupy pro účty služeb Active Directory.

Osvědčené postupy pro účty služeb Active Directory

  1. Udržujte přístup omezený. Zajistěte, abyste účtům služeb AD přidělovali pouze minimální oprávnění, která potřebují k provádění úloh, a nedávejte jim více přístupů, než je nezbytné. V mnoha případech můžete odebrat funkce pro vzdálený přístup, přihlášení k terminálové službě, přístup k internetu a práva pro vzdálené řízení.
  2. Vytvářejte účty služeb od začátku. Nevytvářejte účty služeb v Active Directory kopírováním starých účtů, protože byste mohli omylem zkopírovat účet služby s mnohem vyššími právy, než potřebujete. To by mohlo vést k problémům se zabezpečením a zneužití účtu, pokud někomu poskytnete účet s přístupem ke zdrojům nebo informacím, ke kterým by neměl mít přístup.
  3. Nevkládejte servisní účty do vestavěných privilegovaných skupin. Umístění servisních účtů do skupin s vestavěnými oprávněními může být rizikové, protože každá osoba ve skupině bude mít přístup k pověření servisního účtu. Pokud dojde ke zneužití účtu, může být obtížné zjistit, kdo je pachatelem. Pokud potřebujete servisní účet pro skupinu s oprávněními, vytvořte novou skupinu se stejnými oprávněními a povolte přístup pouze servisnímu účtu.
  4. Zakázat servisnímu účtu přístup k důležitým objektům. K ochraně citlivých souborů, složek, skupin nebo objektů registru před zneužitím servisními účty AD použijte seznam řízení přístupu. Chcete-li zakázat přístup, přejděte do objektu a otevřete okno „Vlastnosti“ pro přístup k bezpečnostním oprávněním, přidejte účet do seznamu „Položka oprávnění“ a nastavte stav na „Zakázat“. Tím zabráníte servisnímu účtu v přístupu k objektu. Pokud potřebujete někomu udělit konkrétní přístup k objektu, můžete ho přidat a později, až dokončí svůj úkol, přepnout zpět na „Odmítnout“.
  5. Odstranit nepotřebná práva. Odepření nepotřebných uživatelských práv je užitečné pro zachování silných bezpečnostních opatření. Patří sem „zakázat přístup k tomuto počítači ze sítě“, „zakázat místní přihlášení“ a „zakázat přihlášení jako dávkovou úlohu“.
  6. Nastavte přístup pomocí funkce „Přihlásit se k“. Když vytvoříte účet služby v Active Directory, můžete mu povolit přihlašování pouze k určitým počítačům, abyste ochránili citlivá data. Otevřete modul Uživatelé a počítače služby Active Directory a poté „Vlastnosti“. Na kartě „Účet“ klikněte na tlačítko „Přihlásit se k“ a přidejte počítače do seznamu povolených zařízení, ke kterým se může účet služby přihlašovat.
  7. Omezte časové rámce. Další zabezpečení můžete zvýšit konfigurací účtů služeb AD tak, aby se mohly přihlašovat pouze v určitou denní dobu.
  8. Kontrola konfigurace hesel. Účet služby můžete nastavit tak, aby si uživatel nemohl změnit vlastní heslo. Můžete také nastavit, aby účet nemohl být delegován na někoho jiného. Tím zajistíte, že heslo bude kontrolovat správce a k účtu nebude mít přístup nikdo jiný než oprávnění uživatelé.
  9. Povolit auditování. Nezapomeňte povolit auditování pro všechny účty služeb a související objekty. Po povolení auditování pravidelně kontrolujte protokoly, abyste zjistili, kdo, kdy a za jakým účelem účty používá. Auditování je jedním z nejdůležitějších osvědčených postupů: pomáhá zajistit bezpečnost, ověřuje, zda jsou dodržovány interní procesy a opatření pro zajištění shody, a může odhalit případné problémy nebo porušení dříve, než uplyne příliš mnoho času.
  10. Implementujte software pro správu přístupových práv. Pečlivá správa účtů služby Active Directory je zásadní pro zabránění zneužití širokého přístupu a oprávnění. Nástroj pro správu přístupových práv může být přínosný pro zajištění nastavení a správy uživatelských účtů s odpovídajícími oprávněními a přístupy.

Doporučuji software SolarWinds® Access Rights Manager (ARM), který je vytvořen tak, aby automatizoval proces správy účtů a zkrátil čas, který musíte věnovat jejich zajišťování. Součástí softwaru jsou také podrobné nástroje pro audit a sledování shody, které vám pomohou splnit přísné požadavky na dodržování bezpečnostních předpisů, včetně předpisů pro dodržování zásad a předpisů specifických pro dané odvětví, jako jsou GDPR, PCI DSS a HIPAA.

Access-Rights-Manager

Auditovací nástroje v ARM jsou jednoduché a snadno použitelné a umožňují rychle vytvářet zprávy připravené pro auditory a vedení o používání účtů i o chování, které ukazují dodržování důležitých bezpečnostních procesů.

Dalším řešením, které stojí za vyzkoušení, je Passportal. Jedná se o řešení pro správu hesel vytvořené pro MSP, které mohou používat i velké korporace a podniky všech typů.

S Passportalem získáte přístup k centralizované cloudové platformě pro správu hesel. Můžete ukládat tolik hesel, kolik potřebujete, libovolně je vyhledávat a měnit a konfigurovat nastavení podle svých potřeb.

Pokud tedy potřebujete způsob, jak spravovat svá pověření Active Directory – nebo pověření svých klientů – je Passportal komplexním řešením. Je také navržen tak, aby byl zabezpečený, takže se nemusíte obávat, že se vaše hesla a další klíčová data dostanou do nepovolaných rukou.

Leave a Reply

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.