Top 10 Active Directory Service Accounts Best Practices

Con Windows Active Directory, una gamma di diversi tipi di account può essere impostata con le necessarie autorizzazioni, accesso e ruoli. Questi includono account di servizio, che sono destinati all’uso quando si installano applicazioni o servizi sul sistema operativo. I tipi comuni di account di servizio di Active Directory includono account utente locali integrati, account utente di dominio, account di servizio gestiti e account virtuali. Questi account hanno privilegi più ampi e un accesso maggiore all’infrastruttura rispetto ad altri account, il che li rende vulnerabili allo sfruttamento della sicurezza.

Tipi di account di servizio di Active Directory

In questo articolo, indicherò le migliori pratiche per mantenere sicuri gli account di servizio e spiegherò perché l’ultima e più importante best practice per gli account di servizio è assicurarsi di avere una soluzione come Access Rights Manager per fornire informazioni critiche sulle autorizzazioni AD.

Salta avanti:

  1. Mantieni l’accesso limitato
  2. Crea account di servizio da zero
  3. Non mettere gli account di servizio in gruppiin gruppi privilegiati
  4. Non permettere agli account di servizio di accedere a oggetti importanti
  5. Rimuovere i diritti non necessari
  6. Impostare l’accesso utilizzando la funzione “Log On To”
  7. Limitare i tempi
  8. Controllo della configurazione
  9. Abilitare l’auditing
  10. Implementare il software di gestione dei diritti di accesso

Come funzionano gli account di servizio di Active Directory

Ogni tipo di account di servizio di Active Directory ha i propri scopi operativi.

  • Gli account utente locali incorporati includono l’account System (per l’amministrazione del sistema locale), l’account Local Service che accede ai servizi di rete senza credenziali, e l’account Network Service che accede alle risorse di rete usando le credenziali del computer.
  • Gli account utente di dominio sono destinati all’uso da parte dei servizi e sono gestiti centralmente da Active Directory. È possibile creare un account utente per un singolo servizio o condividerlo tra più servizi. Tuttavia, con gli account utente di dominio, è possibile concedere solo i privilegi richiesti dal servizio ed è necessario reimpostare le password regolarmente.
  • Gli account di servizio gestiti da Active Directory sono simili agli account utente di dominio, ma la password viene reimpostata regolarmente e automaticamente. Con gli account di servizio gestiti da Active Directory, è possibile assegnare un solo account utente per computer, e ogni account può essere utilizzato con più servizi sul computer. In alternativa, è possibile creare account separati per ogni servizio.

I vantaggi di un account di servizio gestito includono una maggiore sicurezza e facilità di manutenzione. Inoltre, questi account possono eseguire servizi su un computer con la possibilità di connettersi ai servizi di rete come un utente specifico principale. Tuttavia, è importante controllare regolarmente questi account, oltre a seguire le migliori pratiche degli account di servizio di Active Directory per garantire la sicurezza.

Active Directory Service Accounts Best Practices

  1. Mantenere un accesso limitato. Assicuratevi di assegnare agli account di servizio AD solo i privilegi minimi di cui hanno bisogno per i compiti che devono svolgere, e non date loro più accesso del necessario. In molti casi è possibile rimuovere la funzionalità per l’accesso remoto, il login al servizio terminale, l’accesso a Internet e i diritti di controllo remoto.
  2. Creare account di servizio da zero. Non create account di servizio in Active Directory copiando quelli vecchi, poiché potreste accidentalmente copiare da un account di servizio con privilegi molto più alti di quelli necessari. Questo potrebbe portare a problemi di sicurezza e all’abuso di account se si dà a qualcuno un account con accesso a risorse o informazioni di cui non dovrebbe essere a conoscenza.
  3. Non mettere gli account di servizio in gruppi privilegiati incorporati. Mettere gli account di servizio in gruppi con privilegi incorporati può essere rischioso, perché ogni persona nel gruppo avrà accesso alle credenziali dell’account di servizio. Se c’è un uso improprio dell’account, può essere difficile capire chi è il colpevole. Se avete bisogno di un account di servizio per un gruppo privilegiato, create un nuovo gruppo con gli stessi privilegi e consentite l’accesso solo all’account di servizio. Usa una lista di controllo degli accessi per proteggere file, cartelle, gruppi o oggetti del registro sensibili dall’uso improprio da parte degli account di servizio AD. Per negare l’accesso, vai in un oggetto e apri la finestra “Proprietà” per accedere ai permessi di sicurezza, aggiungi un account alla lista “Permission Entry” e imposta lo stato su “Deny”. Questo impedirà all’account di servizio di accedere all’oggetto. Se hai bisogno di dare a qualcuno un accesso specifico all’oggetto, puoi aggiungerlo, poi passarlo di nuovo a “Deny” più tardi, quando hanno finito il loro compito.
  4. Rimuovere i diritti non necessari. Negare i diritti degli utenti non essenziali è utile per mantenere forti le misure di sicurezza. Questo include “negare l’accesso a questo computer dalla rete”, “negare l’accesso a livello locale” e “negare l’accesso come lavoro in batch”
  5. Impostare l’accesso usando la funzione “Log On To”. Quando create un account di servizio in Active Directory, potete permettergli di accedere solo a certe macchine per proteggere i dati sensibili. Aprite Utenti e computer di Active Directory, quindi “Proprietà”. Nella scheda “Account”, fai clic sul pulsante “Log On To” e aggiungi i computer all’elenco dei dispositivi consentiti a cui l’account di servizio può accedere.
  6. Limita i tempi. Puoi aggiungere ulteriore sicurezza configurando gli account di servizio AD in modo che possano accedere solo in determinate ore del giorno.
  7. Controllo configurazione password. È possibile impostare un account di servizio in modo che l’utente non possa cambiare la propria password. Puoi anche impostarlo in modo che l’account non possa essere delegato a qualcun altro. Questo assicura che l’amministratore controlli la password e che nessun altro oltre agli utenti autorizzati abbia accesso all’account.
  8. Abilita l’auditing. Assicurati di abilitare l’auditing per tutti gli account di servizio e i relativi oggetti. Una volta abilitato l’auditing, controlla regolarmente i log per vedere chi sta usando gli account, quando e per quali scopi. L’auditing è una delle pratiche migliori più importanti: aiuta a garantire la sicurezza, verifica che i processi interni e le misure di conformità siano seguiti e può scoprire qualsiasi problema o violazione prima che passi troppo tempo.
  9. Implementare un software di gestione dei diritti di accesso. La gestione accurata degli account di servizio di Active Directory è fondamentale per prevenire l’uso improprio di ampi accessi e privilegi. Uno strumento di gestione dei diritti di accesso può essere utile per garantire che gli account utente siano impostati e gestiti con permessi e accessi appropriati.

Consiglio SolarWinds® Access Rights Manager (ARM), che è costruito per automatizzare il processo di gestione degli account e ridurre il tempo necessario per il provisioning. Il software include anche strumenti dettagliati di auditing e monitoraggio della conformità per aiutarvi a soddisfare i severi requisiti di conformità della sicurezza, comprese le normative di conformità specifiche di settore e politiche come GDPR, PCI DSS e HIPAA.

Gli strumenti di auditing in ARM sono semplici e facili da usare, e vi permettono di creare rapidamente report pronti per gli auditor e la gestione sull’uso degli account e sul comportamento per mostrare l’aderenza a importanti processi di sicurezza.

Un’altra soluzione che vale la pena controllare è Passportal. Si tratta di una soluzione di gestione delle password creata per gli MSP che può essere utilizzata anche da grandi aziende e imprese di tutti i tipi.

Con Passportal, si ottiene l’accesso a una piattaforma centralizzata basata su cloud per la gestione delle password. Puoi memorizzare tutte le password di cui hai bisogno, cercarle e cambiarle a piacimento, e configurare la configurazione per soddisfare le tue esigenze.

Quindi, se hai bisogno di un modo per gestire le tue credenziali Active Directory, o quelle dei tuoi clienti, Passportal è una soluzione completa. È progettato per essere anche sicuro, quindi non dovrete preoccuparvi che le vostre password e altri dati chiave cadano nelle mani sbagliate.

Passportal è una soluzione completa.

Leave a Reply

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.