Stejně jako lidští uživatelé potřebují počítačové programy také přístup ke zdrojům v síti, aby správně fungovaly. Je však rozdíl v tom, jak tyto dvě skupiny – jednotlivci a programy – k těmto zdrojům přistupují. Zatímco lidé využívají uživatelské účty, počítačové programy používají účty služeb Active Directory. Účty služeb Active Directory umožňují spouštění počítačových služeb a programů bez nutnosti lidského zásahu, což je nezbytné pro zajištění nepřetržitého běhu kritických procesů v pozadí. Stejně jako uživatelské účty však stále musíte spravovat účty služeb Active Directory, aby vaši organizaci nevystavily kybernetickým útokům.
Tato příručka prozkoumá vše, co souvisí s účty služeb Active Directory – od pochopení jejich důležitosti pro různé typy účtů služeb AD až po jejich správu.
Porozumění servisním účtům
Účet služby je typ privilegovaného účtu, který umožňuje aplikacím nebo službám interakci s operačním systémem a dalšími síťovými prostředky. Tyto ne-lidské účty fungují tak, že přidělují identity a oprávnění (privilegia) počítačovým programům a službám, které se pokoušejí o přístup k systémovým zdrojům, stejně jako uživatelské účty. Obecně existuje několik typů servisních účtů, včetně Managed Service Accounts, Group Managed Service Accounts, Local Service Accounts a dalších, ale více o tom později v průvodci.
Zjistěte více o servisních účtech v následujících příspěvcích:
Rozdíly mezi uživatelskými účty a servisními účty
První a hlavní rozdíl mezi uživatelskými účty a účty služeb je způsob jejich vytváření. Zatímco uživatelské účty vyžadují vytvoření a přiřazení oprávnění správce sítě, většina (ne všechna – některé lze vytvořit ručně) je předinstalována a nakonfigurována jako součást služby nebo softwaru.
Další klíčový rozdíl spočívá v tom, jak fungují a jak je lze identifikovat. Pomocí uživatelských účtů můžete identifikovat jednotlivce spojené s konkrétním účtem, protože jsou navrženy tak, aby umožňovaly lidem přístup k systémovým zdrojům. Na druhou stranu účty služeb nejsou spojeny s konkrétní osobou, protože jsou vytvořeny pro jiné než lidské entity, jako jsou aplikace nebo služby.
Kvůli tomu, jak běží a jaké mají role v prostředí Active Directory, se uživatelské účty a účty služeb také liší ve svém ověřování. Zatímco uživatelské účty vyžadují ruční přihlášení pomocí uživatelských ID a hesel, servisní účty fungují autonomně, takže ke spouštění služeb nevyžadují oprávnění.
Význam servisních účtů
Servisní účty jsou mimořádně důležité, zejména v podnikovém prostředí, z několika důvodů. Ale možná nejdůležitějším důvodem je role, kterou hrají při usnadnění hladkého fungování kritických procesů. Servisní účty automatizují základní (a někdy opakující se) úlohy, jako je spouštění záloh, správa databází a aktualizace systému. Tímto způsobem mohou podniky snížit administrativní režii, zvýšit efektivitu a podle potřeby škálovat nahoru a dolů.
Účty služeb mohou také fungovat jako proxy pro lidské uživatele k provádění úkolů, které může váš podnik považovat za citlivé nebo vyžadují zvýšená oprávnění. To je nezbytné pro zachování bezpečnosti sítě. Vyloučením lidského prvku z takových úkolů může vaše organizace chránit svou síť před incidenty souvisejícími se zabezpečením, protože určité úkoly mohou provádět pouze autorizované služby a aplikace.
Mezi běžné příklady služeb a aplikací, které používají servisní účty, patří:
- Exchange Server
- SharePoint
- SQL Server
- Internetová informační služba (IIS)
Typy účtů služeb ve službě Active Directory
Pojďme nyní podrobně prozkoumat různé typy účtů služeb AD, včetně případů jejich použití:
Místní servisní účty
(Vestavěný místní) uživatelský účet je typ účtu služby Active Directory, který se automaticky vytvoří na počítači nebo jednotlivém serveru během instalace. Tyto účty služeb obvykle nejsou součástí žádné domény, a proto se obvykle používají pro služby, které potřebují pouze přístup k místním zdrojům.
Nejběžnější příklady místních uživatelských účtů, pod kterými lze aplikace spouštět, jsou účet místního systému (nebo systémový účet), účet místní služby a účet síťové služby.
Účty doménových služeb
Tyto účty služeb AD se běžně používají a jsou ideální pro služby, které vyžadují přístup ke sdíleným zdrojům, jako jsou databáze nebo souborové servery. Jsou vytvořeny v rámci služby Active Directory, aby usnadnily přístup služeb nebo aplikací ke zdrojům v síti.
Účty spravovaných služeb (MSA)
Také známé jako Standalone Managed Service Accounts (sMSA), Windows Managed Service Accounts (MSA) jsou novější typy účtů, které společnost Microsoft představila v systému Windows Server 2008 R2 nebo Windows 7. Tyto účty jsou podobné doménovým účtům, ale s velkým vylepšením – hesla jsou automaticky spravované a resetované každých 30 dní. Toto vylepšení eliminuje potřebu administrátora spravovat hesla, čímž se zvyšuje bezpečnost.
Kromě zabezpečení poskytují účty spravovaných služeb AD další administrativní výhody, včetně:
- Nemusíte spravovat hlavní názvy služeb (SPN) jako u místních uživatelských účtů.
- U těchto účtů nemusíte ručně resetovat hesla.
- Můžete vytvořit doménové účty, které usnadňují správu služeb na místních počítačích.
Jak vytvářet a spravovat MSA:
Před vytvořením účtu MSA musíte splnit několik předpokladů, včetně:
- Windows Server 2008 R2 nebo Windows 7
- Spusťte ADPrep|Forest Prep
- Net Framework 3.5
- Modul Active Directory pro Windows PowerShell
Jakmile splníte výše uvedené předpoklady, postupujte podle níže uvedených kroků:
- Klikněte na nabídku Start a otevřete PowerShell.
- V konzole PowerShell spusťte příkaz „
Import-module ActiveDirectory
“ a importujte modul Active Directory. - Dále spusťte příkaz „
New-ADService Account -Name -enable $true
“ Nahraďte požadovaným názvem účtu. - Tento krok zahrnuje přidružení MSA k počítači, na kterém bude služba spuštěna. Chcete-li to provést, spusťte příkaz „
Add-ADComputerServiceAccount -Identity -ServiceAccount
- Spuštěním příkazu „
Install-ADServiceAccount -Identity
“ nainstalujte MSA do počítače a zpřístupněte jej k použití. - Nakonec nakonfigurujte službu tak, aby používala MSA pro ověřování. Ve vlastnostech služby zadejte MSA jako účet na kartě „Přihlásit se“. Při zadávání názvu MSA použijte formát „DOMAIN\$“.
Group Managed Service Accounts (gMSA)
Tyto servisní účty jsou rozšířením Managed Service Accounts – podporují stejné funkce, ale rozšiřují je na více serverů. GMSA jsou navíc podporovány pouze systémem Windows Server 2012 nebo novějším.
Jak vytvářet a spravovat gMSA
K vytvoření gMSA nemusíte splňovat žádné požadavky na funkční úroveň nebo doménu.
- Vytvořte kořenový adresář KDS spuštěním příkazu „
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
“ v modulu Active Directory PowerShell. - Otevřete Powershell a spusťte následující příkaz pro import modulu Active Directory: „
Import-Module ActiveDirectory
“ - Spusťte následující příkaz: “
New-ADServiceAccount -Name -DNSHostName -PrincipalsAllowedToRetrieveManagedPassword "
” pro vytvoření gMSA.
„AccountName“ bude v tomto případě název gMSA, zatímco „DNSHostName“ je název řadiče domény a „GroupName“ je skupina nebo počítačové objekty, kterým je povoleno získat heslo gMSA.
- Nainstalujte účet na každý server, který bude používat gMSA spuštěním příkazu „
Install-ADServiceAccount
“ - Chcete-li ověřit, že jste nainstalovali gMSA a že funguje správně na každém serveru, použijte následující příkaz: „
Test-ADServiceAccount
“
Pokud vidíte, že výsledek je pravdivý, správně jste nainstalovali gMSA a je připraven k použití. Chcete-li pro službu použít gMSA, otevřete vlastnosti služby a přejděte na kartu „Přihlásit se“. Zadejte gMSA jako účet ve formátu „DOMAIN\$“
Běžné výzvy a jak je překonat
Správa účtů služeb AD není bez spravedlivého podílu výzev. V této části prozkoumáme, s čím byste se měli potýkat se servisními účty a jak se s těmito problémy vypořádat začleněním osvědčených postupů, které udržují servisní účty bezpečné a fungují tak, jak mají.
Problémy se správou hesel
Jedním z nejčastějších problémů spojených s účty služeb Active Directory je chybějící správa hesel. Na rozdíl od uživatelských účtů servisní účty jen zřídka procházejí postupy správy, jako je střídání hesel, kdy svá hesla po určité době neustále měníte nebo resetujete. Důvod, proč to váš IT tým možná přehlíží, není ten, že by byli nedbalí: ve skutečnosti k tomu docela daleko. Je to proto, že se obávají pravděpodobného následku změny hesel servisních účtů, která narušuje kritické procesy.
Audit a sledování používání účtu služby
Monitorování a audit servisních účtů představuje pro správce IT obrovskou výzvu. Důvodů je několik. Za prvé, počet servisních účtů v jednom podniku může být neuvěřitelně vysoký, že je nemožné držet krok. Zatímco některé z těchto účtů můžete sledovat, jiné se mohou propadnout, protože jednoduše nevíte, že existují. Kromě toho se odpovědnost může stát problémem, protože tyto účty ze své podstaty nejsou připojeny ke konkrétnímu uživateli.
Zabezpečení servisního účtu
Stejně jako u většiny účtů AD zůstává zabezpečení pro servisní účty výzvou. Většina servisních účtů má vysoká oprávnění a oprávnění, takže pokud by došlo k narušení zabezpečení, měly by přístup k tolika zdrojům v síti vaší organizace. Navíc, pokud máte příliš mnoho servisních účtů, které nejsou zaúčtovány, zabezpečení každého z nich může být nemožné.
Osiřelé nebo nepoužívané servisní účty
Pokud toto políčko nezaškrtnete, může být váš podnik mezi mnoha organizacemi, které mají tolik servisních účtů, že je jednoduše nemůžete sledovat. K tomu může dojít, pokud zaměstnanci spravující tyto účty opustí vaši organizaci, pokud migrujete na nové systémy nebo pokud zapomenete odebrat dočasné servisní účty. Tyto servisní účty často zůstávají bez povšimnutí a mohou se nakonec hromadit ve vaší síti.
Nejlepší postupy pro správu účtů služeb
Existuje několik osvědčených postupů, které můžete implementovat, abyste předešli výše uvedeným problémům a vypořádali se s nimi. Některé z těchto osvědčených postupů zahrnují:
- Princip nejmenšího privilegia (PoLP): To jednoduše znamená udělovat servisním účtům pouze (minimální) požadovaná oprávnění k provádění úkolů, které jsou po nich vyžadovány. Tento osvědčený postup minimalizuje riziko neoprávněných akcí a přístupu. Navíc v případě, že dojde k narušení bezpečnosti, se sníží množství škod, které může způsobit neoprávněný uživatel.
- Pravidelně kontrolujte a aktualizujte oprávnění: Kromě implementace PoLP byste měli občas revidovat oprávnění, která má každý servisní účet. Časem se totiž mohou oprávnění pro různé aplikace a služby měnit a měli byste zajistit, aby neměly větší přístup, než je nutné.
- Implementujte zásady silných hesel: U servisních účtů, které automaticky nemění hesla, jako jsou tradiční účty domény, mohou zásady silných hesel, jako je používání složitých a dlouhých hesel, pravidelná změna hesel pro servisní účty s vysokými oprávněními a bezpečné ukládání hesel, pomoci snížit možnost porušení.
- Používejte MSA a gMSA ke snížení administrativní režie: MSA a gMSA automatizují správu hesel a zjednodušují konfiguraci SPN. To uvolňuje čas IT personálu, aby se mohl soustředit na jiné důležité úkoly.
- Monitorujte a auditujte činnosti servisního účtu: Vytváření servisních účtů a zapomínání na ně je receptem na katastrofu (tj. narušení bezpečnosti). Proto musíte implementovat zásady pro provádění pravidelných auditů účtů, abyste zjistili a zastavili podezřelé chování.
Vyčištění nepoužívaných servisních účtů
Nepoužívané servisní účty mohou pro vaši organizaci představovat bezpečnostní problémy. Jak již bylo uvedeno, některé z těchto účtů mohou mít velmi vysoká oprávnění, takže pokud útočník získal přístup k jednomu z nich, může způsobit rozsáhlé škody. Identifikace nepoužívaných nebo osiřelých servisních účtů je zásadní.
Můžete to udělat několika způsoby, včetně:
- Použití řešení Privileged Access Management (PAM): Můžete využít řešení jako Netwrix, která prohledají celé vaše IT prostředí a objeví všechny existující účty služeb. V seznamu účtů můžete najít všechny nepoužívané a nepotřebné účty a odstranit je.
- Využití vyhledávacích dotazů: K identifikaci starých servisních účtů, které se nepoužívají ve vašem prostředí AD, můžete použít běžný dotaz „Účty služeb nejsou přihlášeny $ dní“.
Kroky pro bezpečné odstranění nepoužívaných servisních účtů
Odstranění starých a nepoužívaných účtů vyžaduje provedení několika kroků, abyste zajistili, že nenarušíte celý systém.
To znamená, že poté, co identifikujete nepoužívané servisní účty:
- Ověřte, že identifikované účty již nejsou potřeba. Chcete-li to provést, můžete použít následující příkaz PowerShellu: „Get-ADUser -Identity -Properties LastLogonDate“
- Místo okamžitého smazání účtu služby je vhodné jej nejprve deaktivovat. To vám umožní ověřit, že deaktivace účtu neovlivní žádné důležité služby.
- Jakmile potvrdíte, že deaktivace účtu služby nezpůsobí žádné problémy, můžete jej odstranit spuštěním následujícího příkazu PowerShell: „Remove-ADUser -Identity “
Nástroje a techniky pro správu servisních účtů
PowerShell se ukázal jako výkonný nástroj pro správu servisních účtů ve vašem prostředí AD. Poskytuje několik příkazů, které můžete použít ke snadnému a rychlému vytváření, úpravám a odstraňování účtů. Můžete jej také použít ke správě oprávnění a automatizaci rutinních úloh.
Jak může Netwrix pomoci
Účty služby Active Directory, i když jsou užitečné, mohou také představovat bezpečnostní rizika pro celou vaši organizaci, pokud nejsou správně spravovány. Proto je zásadní spoléhat se na řešení, které vám pomůže vytvořit, spravovat a udržovat osvědčené postupy servisních účtů AD. V Netwrix je Active Directory naší specializací, takže se můžete spolehnout na to, že udržíme vaše servisní účty v bezpečí. Naše komplexní řešení zabezpečení Active Directory funguje tak, že provádí hodnocení rizik, implementuje bezpečnostní opatření k ochraně vašeho prostředí AD, okamžitě reaguje na hrozby a podporuje komplexní obnovu AD.
Časté dotazy
Co je servisní účet ve službě Active Directory?
Účet služby je jiný než lidský účet vytvořený ve službě Active Directory za účelem spouštění aplikací nebo služeb bez nutnosti ručního zásahu.
Jak vytvořím účet služby Active Directory?
Účet služby Active Directory můžete vytvořit pomocí konzoly pro správu PowerShell nebo Active Directory Users and Computers (ADUC).
Jaký je rozdíl mezi uživatelským účtem a účtem služby ve službě Active Directory?
Hlavní rozdíl mezi uživatelskými účty a servisními účty je v tom, že uživatelské účty jsou přidruženy k jednomu uživateli, zatímco servisní účty nemají konkrétního uživatele (nejsou to lidé).
Jaký je rozdíl mezi účtem počítače a účtem služby?
Je snadné zaměňovat účty počítačů a služeb, ale oba se liší. Zatímco počítačový účet je svázán s identitou počítače, servisní účet je svázán s identitou konkrétní služby nebo aplikace běžící na tomto počítači.
Jak vytvořím servisní účet pro AD?
Existují dva hlavní způsoby, jak můžete vytvořit účet služby v Active Directory – PowerShell nebo Active Directory Users and Computers (ADUC).
Jaký je rozdíl mezi reklamním uživatelským účtem a servisním účtem?
Uživatelské účty umožňují lidským uživatelům přístup ke zdrojům umístěným v prostředích AD, zatímco servisní účty umožňují programům nebo službám přístup k systémovým zdrojům bez nutnosti správy ze strany lidského administrátora.
Jaký je příklad servisního účtu?
Příklady servisních účtů zahrnují místní uživatelské účty, doménu, spravované servisní účty a skupinové spravované servisní účty.
Co jsou účty spravovaných služeb Active Directory?
Účty spravovaných služeb Active Directory (MSA) jsou speciální typy účtů služeb spravované doménou, což znamená, že řadič domény automaticky zpracovává úkoly, jako je správa hesel a delegování přístupových práv.
Pro další informace nás neváhejte kontaktovat.
Zdroj: Netwrix