แนวปฏิบัติที่ดีที่สุดสำหรับบัญชีบริการคืออะไร

9

เราใช้บริการหลายอย่างใน บริษัท ของเราโดยใช้บัญชีโดเมนที่ใช้ร่วมกัน น่าเสียดายที่ข้อมูลประจำตัวสำหรับบัญชีนี้มีการเผยแพร่อย่างกว้างขวางและมีการใช้งานบ่อยครั้งทั้งในด้านการบริการและไม่ใช่เพื่อการบริการ สิ่งนี้นำไปสู่สถานการณ์ที่เป็นไปได้ว่าบริการจะหยุดให้บริการชั่วคราวเนื่องจากบัญชีที่ใช้ร่วมกันนี้ถูกล็อค

เห็นได้ชัดว่าสถานการณ์นี้จำเป็นต้องเปลี่ยนแปลง แผนจะเปลี่ยนบริการเพื่อให้ทำงานภายใต้บัญชีใหม่ แต่ฉันไม่คิดว่ามันจะไปไกลพอเพราะบัญชีนั้นอยู่ภายใต้นโยบายการล็อคเดียวกัน

คำถามของฉันคือ: เราควรจะตั้งค่าบัญชีบริการแตกต่างจากบัญชีโดเมนอื่นและถ้าเราเราจะจัดการบัญชีเหล่านั้นได้อย่างไร โปรดทราบว่าเรากำลังใช้งานโดเมน 2003 และการอัปเกรดตัวควบคุมโดเมนไม่ใช่โซลูชันที่ทำงานได้ในระยะเวลาอันใกล้นี้

windows-server-2003  active-directory  best-practices 
LockeCJ
แหล่งที่มา

คำตอบ:

7

ความคิดเล็กน้อย:

  • หนึ่งบัญชีต่อบริการหนึ่งครั้งหรือต่อหนึ่งประเภทบริการขึ้นอยู่กับสภาพแวดล้อมของคุณ

  • บัญชีควรเป็นบัญชีโดเมน

  • บัญชีควรมีรหัสผ่านที่รัดกุมซึ่งไม่หมดอายุ * สร้างรหัสผ่านแบบสุ่มที่ได้รับการบันทึกไว้ที่ใดที่หนึ่ง (KeePass ดีสำหรับเรื่องนี้) เพื่อสร้างความเจ็บปวดสำหรับผู้ใช้งานเพื่อเข้าสู่ระบบ พูดถึงสิ่งที่ ...

  • ... (โดยทั่วไป) บัญชีควรเป็นสมาชิกของกลุ่มที่ไม่มีสิทธิ์ในการเข้าสู่ระบบแบบโต้ตอบ สามารถควบคุมได้ผ่านนโยบายกลุ่ม

  • โปรดจำไว้ว่าหลักการของสิทธิพิเศษน้อยที่สุด บัญชีควรมีสิทธิที่พวกเขาต้องทำงานของพวกเขาและไม่มีอะไรมาก การทำหมึกด้วยวิธีนี้ตามที่เกรวี่เฟซชี้ให้ใช้บัญชีที่มีอยู่แล้วในกรณีที่เป็นไปได้ Local Serviceเมื่อไม่จำเป็นต้องเข้าถึงเครือข่าย Network Serviceเมื่อเข้าใช้เครือข่ายเนื่องจากบัญชีเครื่องจักรจะปลอดภัยเพียงพอและหลีกเลี่ยงการใช้Local Systemบัญชีหากเป็นไปได้

* เว้นแต่ว่านโยบายความปลอดภัยของ บริษัท ของคุณจะไม่สามารถใช้งานได้ แต่ด้วยเสียงของสิ่งต่าง ๆ มันอาจจะเป็น :-)

Chris McKeown
แหล่งที่มา
หากแฮกเกอร์ได้รับระบบเขา / เธอสามารถอัดน้ำหนักบรรทุกของพวกเขาลงในกระบวนการหรือบริการใด ๆ ที่เรียกใช้เป็นบัญชีโดเมนและด้วยวิธีการดังกล่าวคุณสามารถเข้าถึงสิ่งใดก็ตามที่ผู้ใช้โดเมนนั้นมี ฉันมักจะใช้ LocalService เมื่อฉันไม่ต้องการการเข้าถึงเครือข่าย (เช่นอินสแตนซ์ SQL ที่ใช้งานอยู่ภายในเครื่อง)
gravyface
1
@gravyface นี่เป็นจุดที่ดี ฉันมักจะคิดว่าบัญชีบริการเฉพาะนั้นเป็น 'บริการที่ไม่สามารถใช้งานบัญชีที่มีอยู่แล้ว' ดังนั้นจึงควรค่าแก่การแยกความแตกต่างนั้น
Chris McKeown
เป็นไปได้หรือไม่ที่จะปิดใช้งานการล็อกในระดับนโยบายกลุ่มในปี 2003? นี่เป็นความคิดที่ดีหรือไม่?
LockeCJ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.