¿Cuáles son las mejores prácticas para las cuentas de servicio?

9

Estamos ejecutando varios servicios en nuestra empresa utilizando una cuenta de dominio compartido. Desafortunadamente, las credenciales para esta cuenta están ampliamente distribuidas y se utilizan con frecuencia tanto para fines de servicio como para fines no relacionados con el servicio. Esto ha llevado a una situación en la que es posible que los servicios estén temporalmente fuera de servicio debido a que esta cuenta compartida está bloqueada.

Obviamente, esta situación necesita cambiar. El plan es cambiar los servicios para que se ejecuten bajo una nueva cuenta, pero no creo que esto vaya lo suficientemente lejos, ya que esa cuenta está sujeta a la misma política de bloqueo.

Mi pregunta es la siguiente: ¿deberíamos configurar las cuentas de servicio de manera diferente a otras cuentas de dominio? Y si lo hacemos, ¿cómo administramos esas cuentas? Tenga en cuenta que estamos ejecutando un dominio de 2003, y la actualización del controlador de dominio no es una solución viable a corto plazo.

LockeCJ
fuente

Respuestas:

7

Algunas reflexiones:

  • Una cuenta por servicio, o tal vez por tipo de servicio, según su entorno.

  • Las cuentas deben ser cuentas de dominio.

  • Las cuentas deben tener una contraseña segura que no caduque *. Lo ideal es generar una contraseña aleatoria que se registre en algún lugar (KeePass es bueno para esto) para que sea difícil para las personas usarla para iniciar sesión. Hablando de que...

  • ... (En general) la cuenta debe ser miembro de un grupo que no tiene los derechos para iniciar sesión de forma interactiva. Esto se puede controlar a través de la Política de grupo.

  • Tenga en cuenta el principio del menor privilegio. Las cuentas deben tener los derechos que necesitan para hacer su trabajo y no más . De acuerdo con esto, como señala gravyface, use las cuentas integradas siempre que sea posible. Local Servicecuando no se requiere acceso a la red. Network Serviceal acceder a la red ya que la cuenta de la máquina será lo suficientemente segura y evite usar la Local Systemcuenta siempre que sea posible.

* A menos que la política de seguridad de su empresa no sea compatible con esto, pero por lo que parece, probablemente sea :-)

Chris McKeown
fuente
Si un hacker obtiene SYSTEM, él / ella puede inyectar fácilmente su carga útil en cualquier proceso o servicio que se ejecute como una cuenta de dominio y con eso, tenga el acceso que tenga ese usuario de dominio en particular. Normalmente uso LocalService cuando no necesito acceso a la red (por ejemplo, ejecutando localmente una instancia de SQL).
gravyface
1
@gravyface Este es un buen punto. Tiendo a pensar en cuentas de servicio específicas como 'servicios que no pueden usar las cuentas integradas', por lo que vale la pena hacer esa distinción
Chris McKeown
¿Es posible deshabilitar el bloqueo a nivel de política de grupo, en 2003? ¿Es esta una buena idea?
LockeCJ