Top 10 Active Directory Service Accounts Best Practices

Met Windows Active Directory kan een reeks verschillende accounttypen worden ingesteld met de benodigde machtigingen, toegang en rollen. Hiertoe behoren serviceaccounts, die bedoeld zijn voor gebruik bij het installeren van toepassingen of services op het besturingssysteem. Veel voorkomende typen Active Directory serviceaccounts zijn ingebouwde lokale gebruikersaccounts, domeingebruikersaccounts, beheerde serviceaccounts en virtuele accounts. Deze accounts hebben bredere privileges en meer toegang tot de infrastructuur dan andere accounts, waardoor ze kwetsbaar zijn voor misbruik van de beveiliging.

typen active directory service-accounts

In dit artikel zal ik best practices uiteenzetten om uw service-accounts veilig te houden en uitleggen waarom de laatste en belangrijkste best practice voor service-accounts is om ervoor te zorgen dat u beschikt over een oplossing zoals Access Rights Manager om kritisch inzicht te bieden in uw AD-machtigingen.

Jump vooruit:

  1. Beperk de toegang
  2. Maak service-accounts vanaf nul
  3. Zet service-accounts niet in ingebouwdein bevoorrechte groepen
  4. Maak serviceaccounts ontoegankelijk voor belangrijke objecten
  5. Verwijder onnodige rechten
  6. Stel toegang in met behulp van de functie “Aanmelden bij”
  7. Limiteer tijdsbestekken
  8. Controleer wachtwoord configuratie
  9. auditing inschakelen
  10. beheersoftware voor toegangsrechten implementeren

Hoe Active Directory serviceaccounts werken

Elk type Active Directory serviceaccount heeft zijn eigen werkingsdoeleinden.

  • Tot de ingebouwde lokale gebruikersaccounts behoren de System-account (voor lokaal systeembeheer), de Local Service-account die zonder referenties toegang heeft tot netwerkdiensten, en de Network Service-account die met de referenties van de computer toegang heeft tot netwerkbronnen.
  • Domain-gebruikersaccounts zijn bedoeld voor gebruik door diensten en worden centraal beheerd door Active Directory. Het is mogelijk om een gebruikersaccount te maken voor een enkele service, of om deze te delen over meerdere services. Met domeingebruikersaccounts kunt u echter alleen de rechten toekennen die de service nodig heeft en moet u regelmatig wachtwoorden opnieuw instellen.
  • Active Directory beheerde serviceaccounts zijn vergelijkbaar met domeingebruikersaccounts, maar het wachtwoord wordt regelmatig en automatisch opnieuw ingesteld. Met accounts voor door Active Directory beheerde services kunt u slechts één gebruikersaccount per computer toewijzen, en elke account kan worden gebruikt voor meerdere services op de computer. U kunt ook aparte accounts maken voor elke service.

De voordelen van een beheerde serviceaccount zijn onder andere een betere beveiliging en eenvoudiger onderhoud. Bovendien kunnen deze accounts services uitvoeren op een computer met de mogelijkheid om verbinding te maken met netwerkservices als een specifieke gebruikersprincipaal. Het is echter belangrijk om deze accounts regelmatig te controleren, naast het volgen van de best practices voor Active Directory-serviceaccounts om de beveiliging te waarborgen.

Active Directory Service Accounts Best Practices

  1. Houd de toegang beperkt. Zorg ervoor dat je AD service accounts alleen de minimale rechten toekent die ze nodig hebben voor de taken die ze moeten uitvoeren, en geef ze niet meer toegang dan nodig is. In veel gevallen kunt u de functionaliteit voor toegang op afstand, terminal service login, internettoegang en remote control rechten verwijderen.
  2. Maak service accounts vanaf nul aan. Maak geen service accounts aan in Active Directory door oude accounts te kopiëren, omdat u per ongeluk een service account kunt kopiëren met veel hogere rechten dan u nodig heeft. Dit kan leiden tot beveiligingsproblemen en misbruik van accounts als u iemand een account geeft met toegang tot bronnen of informatie die hij niet zou moeten hebben.
  3. Plaats serviceaccounts niet in ingebouwde groepen met privileges. Het plaatsen van serviceaccounts in groepen met ingebouwde privileges kan riskant zijn, omdat elke persoon in de groep toegang heeft tot de credentials van de serviceaccount. Als er sprake is van misbruik van accounts, kan het moeilijk zijn om uit te vinden wie de dader is. Als een serviceaccount nodig is voor een groep met privileges, maak dan een nieuwe groep met dezelfde privileges en geef alleen toegang tot de serviceaccount.
  4. Verbied de serviceaccount toegang tot belangrijke objecten. Gebruik een toegangscontrolelijst om gevoelige bestanden, mappen, groepen of registerobjecten te beschermen tegen misbruik door AD Serviceaccounts. Om toegang te weigeren, ga je naar een object en open je het “Eigenschappen” venster om toegang te krijgen tot de beveiligingsmachtigingen, voeg je een account toe aan de “Machtigingentoevoeging” lijst, en zet je de status op “Weigeren”. Dit zal voorkomen dat de service account toegang heeft tot het object. Als je iemand specifieke toegang tot het object moet geven, kun je hem toevoegen, en hem later, als hij klaar is met zijn taak, weer op “Weigeren” zetten.
  5. Verwijder onnodige rechten. Het ontzeggen van niet-essentiële gebruikersrechten is nuttig om de beveiliging sterk te houden. Dit omvat “de toegang tot deze computer vanaf het netwerk weigeren”, “lokaal aanmelden weigeren” en “aanmelden als batchtaak weigeren”.
  6. Stel de toegang in met behulp van de functie “Aanmelden bij”. Wanneer u een serviceaccount maakt in Active Directory, kunt u deze toestaan zich alleen aan te melden bij bepaalde machines om gevoelige gegevens te beschermen. Open Gebruikers en computers in Active Directory en vervolgens “Eigenschappen”. Klik op het tabblad “Account” op de knop “Aanmelden bij” en voeg de computers toe aan de lijst met toegestane apparaten waarop de serviceaccount zich kan aanmelden.
  7. Tijdsbestekken beperken. U kunt extra beveiliging toevoegen door AD service-accounts zo te configureren dat ze zich alleen op bepaalde tijdstippen van de dag mogen aanmelden.
  8. Wachtwoordconfiguratie regelen. U kunt een serviceaccount zo instellen dat de gebruiker zijn eigen wachtwoord niet kan wijzigen. U kunt het ook zo instellen dat de account niet aan iemand anders kan worden gedelegeerd. Dit zorgt ervoor dat de beheerder het wachtwoord controleert, en dat niemand anders dan geautoriseerde gebruikers toegang heeft tot de account.
  9. Auditing inschakelen. Zorg ervoor dat auditing is ingeschakeld voor alle service accounts en gerelateerde objecten. Als auditing eenmaal is ingeschakeld, controleer dan regelmatig de logboeken om te zien wie de accounts gebruikt, wanneer, en voor welke doeleinden. Auditing is een van de belangrijkste best practices: het helpt de beveiliging te waarborgen, controleert of interne processen en compliance maatregelen worden gevolgd, en kan eventuele problemen of inbreuken ontdekken voordat er te veel tijd overheen gaat.
  10. Implementeer software voor het beheer van toegangsrechten. Zorgvuldig beheer van uw Active Directory-serviceaccounts is van cruciaal belang om misbruik van brede toegang en privileges te voorkomen. Een tool voor het beheer van toegangsrechten kan nuttig zijn om ervoor te zorgen dat gebruikersaccounts worden ingesteld en beheerd met de juiste machtigingen en toegang.

Ik raad SolarWinds® Access Rights Manager (ARM) aan, die is gebouwd om het accountbeheerproces te automatiseren en de tijd te verminderen die u aan provisioning moet besteden. De software bevat ook gedetailleerde tools voor auditing en compliancebewaking waarmee u kunt voldoen aan strenge beveiligingsnalevingseisen, waaronder beleids- en sectorspecifieke nalevingsvoorschriften zoals GDPR, PCI DSS en HIPAA.

Access-Rights-Manager

De audittools in ARM zijn eenvoudig en gemakkelijk te gebruiken, en ze stellen u in staat om snel rapporten te maken voor auditors en management over accountgebruik en gedrag om de naleving van belangrijke beveiligingsprocessen te laten zien.

Een andere oplossing die de moeite waard is om te bekijken, is Passportal. Dit is een oplossing voor wachtwoordbeheer die is gemaakt voor MSP’s, maar ook kan worden gebruikt door grote bedrijven en bedrijven van alle soorten.

Met Passportal krijgt u toegang tot een gecentraliseerd cloudgebaseerd platform voor het beheer van wachtwoorden. U kunt zoveel wachtwoorden opslaan als u nodig hebt, ze opzoeken en naar believen wijzigen, en de set-up configureren om aan uw behoeften te voldoen.

Dus als u een manier nodig hebt om uw Active Directory-referenties te beheren – of die van uw klanten – is Passportal een uitgebreide oplossing. Het is ook ontworpen om te worden beveiligd, zodat u zich geen zorgen hoeft te maken dat uw wachtwoorden en andere belangrijke gegevens in verkeerde handen vallen.

Leave a Reply

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.