Top 10 bedste praksis for Active Directory-tjenestekonti

Med Windows Active Directory kan der oprettes en række forskellige kontotyper med de nødvendige tilladelser, adgang og roller. Disse omfatter servicekonti, som er beregnet til brug ved installation af programmer eller tjenester på operativsystemet. Almindelige typer Active Directory-tjenestekonti omfatter indbyggede lokale brugerkonti, domænebrugerkonti, administrerede tjenestekonti og virtuelle konti. Disse konti har bredere privilegier og større adgang til infrastrukturen end andre konti, hvilket gør dem sårbare over for sikkerhedsudnyttelse.

typer af Active Directory-tjenestekonti

I denne artikel vil jeg opstille bedste praksis for at holde dine tjenestekonti sikre samt forklare, hvorfor den sidste og vigtigste bedste praksis for tjenestekonti er at sørge for, at du har en løsning som Access Rights Manager til at give kritisk indsigt i dine AD-tilladelser.

Spring fremad:

  1. Hold adgangen begrænset
  2. Opret tjenestekonti fra bunden
  3. Sæt ikke tjenestekonti i indbyggede-i privilegerede grupper
  4. Begræns servicekontos adgang til vigtige objekter
  5. Fjern unødvendige rettigheder
  6. Sæt adgang ved hjælp af funktionen “Log på til”
  7. Begræns tidsrammer
  8. Kontroller adgangskoden konfiguration
  9. Aktiver auditering
  10. Implementer software til forvaltning af adgangsrettigheder

Sådan fungerer Active Directory-tjenestekonti

Hver type Active Directory-tjenestekonto har sine egne driftsmæssige formål.

  • De indbyggede lokale brugerkonti omfatter Systemkontoen (til lokal systemadministration), Lokaltjenestekontoen, som giver adgang til netværkstjenester uden legitimationsoplysninger, og Netværkstjenestekontoen, som giver adgang til netværksressourcer ved hjælp af computerens legitimationsoplysninger.
  • Domænebrugerkonti er beregnet til brug af tjenester og administreres centralt af Active Directory. Det er muligt at oprette en brugerkonto til en enkelt tjeneste eller at dele den på tværs af flere tjenester. Med domænebrugerkonti kan du dog kun tildele de rettigheder, der kræves af tjenesten, og du skal nulstille adgangskoderne regelmæssigt.
  • Tjenestekonti, der administreres af Active Directory, svarer til domænebrugerkonti, men adgangskoden nulstilles regelmæssigt og automatisk. Med Active Directory-administrerede tjenestekonti kan du kun tildele én brugerkonto pr. computer, og hver konto kan bruges med flere tjenester på computeren. Alternativt kan du oprette separate konti for hver tjeneste.

Fordelene ved en administreret tjenestekonto er bl.a. øget sikkerhed og lettere vedligeholdelse. Desuden kan disse konti køre tjenester på en computer med mulighed for at oprette forbindelse til netværkstjenester som et bestemt brugerprincipal. Det er dog vigtigt at foretage regelmæssig revision af disse konti, ud over at følge bedste praksis for Active Directory-tjenestekonti for at garantere sikkerheden.

Beste praksis for Active Directory-tjenestekonti

  1. Hold adgangen begrænset. Sørg for, at du kun tildeler AD-tjenestekonti de minimumsrettigheder, de har brug for til de opgaver, de skal udføre, og giv dem ikke mere adgang end nødvendigt. I mange tilfælde kan du fjerne funktionaliteten for fjernadgang, login til terminaltjeneste, internetadgang og fjernstyringsrettigheder.
  2. Opret tjenestekonti fra bunden. Du må ikke oprette tjenestekonti i Active Directory ved at kopiere gamle konti, da du ved et uheld kan komme til at kopiere fra en tjenestekonto med meget højere rettigheder, end du har brug for. Dette kan føre til sikkerhedsproblemer og misbrug af kontoen, hvis du giver en person en konto med adgang til ressourcer eller oplysninger, som vedkommende ikke burde have adgang til.
  3. Anbring ikke tjenestekonti i indbyggede grupper med privilegerede rettigheder. Det kan være risikabelt at placere tjenestekonti i grupper med indbyggede privilegier, fordi hver person i gruppen vil have adgang til tjenestekontoens legitimationsoplysninger. Hvis der sker misbrug af kontoen, kan det være svært at finde ud af, hvem gerningsmanden er. Hvis du har brug for en servicekonto til en gruppe med privilegier, skal du oprette en ny gruppe med de samme privilegier og kun tillade adgang til servicekontoen.
  4. Forbyde servicekonto-adgang til vigtige objekter. Brug en adgangskontrolliste til at beskytte følsomme filer, mapper, grupper eller registreringsobjekt mod misbrug af AD-tjenestekonti. Hvis du vil afvise adgang, skal du gå ind i et objekt og åbne vinduet “Egenskaber” for at få adgang til sikkerhedstilladelser, tilføje en konto til listen “Tilladelsespost” og indstille status til “Afvis”. Dette forhindrer servicekontoen i at få adgang til objektet. Hvis du har brug for at give en person specifik adgang til objektet, kan du tilføje vedkommende, og så ændre dem tilbage til “Afvis” senere, når de er færdige med deres opgave.
  5. Fjern unødvendige rettigheder. Det er nyttigt at nægte ikke-nødvendige brugerrettigheder for at holde sikkerhedsforanstaltningerne stærke. Dette omfatter “nægt adgang til denne computer fra netværket”, “nægt logon lokalt” og “nægt logon som et batchjob”.”
  6. Indstil adgang ved hjælp af funktionen “Log på til”. Når du opretter en tjenestekonto i Active Directory, kan du give den tilladelse til kun at logge på bestemte maskiner for at beskytte følsomme data. Åbn Active Directory Brugere og computere og derefter “Egenskaber”. Klik på knappen “Log på til” under fanen “Konto”, og tilføj computerne til listen over tilladte enheder, som tjenestekontoen kan logge på.
  7. Begræns tidsrammer. Du kan tilføje ekstra sikkerhed ved at konfigurere AD-tjenestekonti til kun at få lov til at logge på på bestemte tidspunkter af dagen.
  8. Kontroller konfigurationen af adgangskoder. Du kan indstille en tjenestekonto, så brugeren ikke kan ændre sin egen adgangskode. Du kan også indstille den, så kontoen ikke kan delegeres til en anden person. Dette sikrer, at administratoren kontrollerer adgangskoden, og at ingen andre end autoriserede brugere har adgang til kontoen.
  9. Aktiver auditering. Sørg for at aktivere auditering for alle servicekonti og relaterede objekter. Når auditering er aktiveret, skal du regelmæssigt kontrollere logfilerne for at se, hvem der bruger kontiene, hvornår og til hvilke formål. Revision er en af de vigtigste af de bedste fremgangsmåder: Den er med til at sikre sikkerheden, bekræfter, at interne processer og overensstemmelsesforanstaltninger følges, og kan opdage eventuelle problemer eller brud, før der går for lang tid.
  10. Implementer software til administration af adgangsrettigheder. En omhyggelig forvaltning af dine Active Directory-tjenestekonti er afgørende for at forhindre misbrug af bred adgang og privilegier. Et værktøj til administration af adgangsrettigheder kan være en fordel for at sikre, at brugerkonti er konfigureret og administreret med passende tilladelser og adgang.

Jeg anbefaler SolarWinds® Access Rights Manager (ARM), som er bygget til at automatisere kontoadministrationsprocessen og reducere den tid, du skal bruge på provisioning. Softwaren indeholder også detaljerede værktøjer til auditering og overvågning af overholdelse, der hjælper dig med at opfylde strenge krav til overholdelse af sikkerhedsreglerne, herunder politik- og branchespecifikke regler om overholdelse af regler som GDPR, PCI DSS og HIPAA.

Access-Rights-Manager

Revisionsværktøjerne i ARM er enkle og nemme at bruge, og de giver dig mulighed for hurtigt at oprette auditor- og ledelsesklare rapporter om kontoanvendelse samt adfærd for at vise overholdelse af vigtige sikkerhedsprocesser.

En anden løsning, der er værd at tjekke ud, er Passportal. Dette er en løsning til administration af adgangskoder, der er skabt til MSP’er, men som også kan bruges af store virksomheder og virksomheder af alle typer.

Med Passportal får du adgang til en centraliseret cloud-baseret platform til administration af adgangskoder. Du kan gemme så mange adgangskoder, som du har brug for, søge efter og ændre dem efter behag og konfigurere opsætningen, så den passer til dine behov.

Så hvis du har brug for en måde at administrere dine Active Directory-legitimationsoplysninger – eller dine kunders – er Passportal en omfattende løsning. Den er også designet til at være sikret, så du behøver ikke at bekymre dig om, at dine adgangskoder og andre vigtige data falder i de forkerte hænder.

Leave a Reply

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.