Proteggere gli account computer locali con Active Directory
Un account computer o un account LocalSystem ha privilegi elevati con accesso a quasi tutte le risorse nel computer locale. L'account non è associato agli account utente connessi. I servizi vengono eseguiti come LocalSystem accedere alle risorse di rete presentando le credenziali del computer ai server remoti nel formato <domain_name>\\<computer_name>$. Il nome predefinito dell'account computer è NT AUTHORITY\SYSTEM. È possibile avviare un servizio e fornire il contesto di sicurezza per tale servizio.
Vantaggi dell'uso di un account computer
Un account computer offre i vantaggi seguenti:
- Accesso locale senza restrizioni: l'account computer fornisce l'accesso completo alle risorse locali del computer
- Gestione automatica delle password : rimuove la necessità di modificare manualmente le password. L'account è membro di Active Directory e la relativa password viene modificata automaticamente. Con un account computer non è necessario registrare il nome dell'entità servizio.
- Diritti di accesso limitati all'esterno del computer: l'elenco di controllo di accesso predefinito in Dominio di Active Directory Services (AD DS) consente l'accesso minimo agli account computer. Durante l'accesso da parte di un utente non autorizzato, il servizio ha accesso limitato alle risorse di rete.
Valutazione del comportamento di sicurezza dell'account computer
Usare la tabella seguente per esaminare potenziali problemi e mitigazioni dell'account computer.
| Problema relativo all'account computer | Mitigazione |
|---|---|
| Gli account computer sono soggetti a eliminazione e ricreazione quando il computer esce e rielabora il dominio. | Confermare il requisito di aggiungere un computer a un gruppo di Active Directory. Per verificare gli account computer aggiunti a un gruppo, usare gli script nella sezione seguente. |
| Se si aggiunge un account computer a un gruppo, i servizi eseguiti come LocalSystem in tale computer ottengono i diritti di accesso ai gruppi. | Essere selettivi sulle appartenenze ai gruppi di account computer. Non creare un account computer membro di un gruppo di amministratori di dominio. Il servizio associato ha accesso completo ad Active Directory Domain Services. |
| Impostazioni predefinite di rete non accurate per LocalSystem. | Non presupporre che l'account computer abbia l'accesso limitato predefinito alle risorse di rete. Confermare invece le appartenenze ai gruppi per l'account. |
| Servizi sconosciuti eseguiti come LocalSystem. | Verificare che i servizi eseguiti nell'account LocalSystem siano servizi Microsoft o servizi attendibili. |
Trovare servizi e account computer
Per trovare i servizi eseguiti con l'account computer, usare il cmdlet di PowerShell seguente:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Per trovare gli account computer membri di un gruppo specifico, eseguire il cmdlet di PowerShell seguente:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Per trovare gli account computer membri dei gruppi di amministratori delle identità (amministratori di dominio, amministratori dell'organizzazione e amministratori), eseguire il cmdlet di PowerShell seguente:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Consigli per l'account computer
Importante
Gli account computer hanno privilegi elevati, quindi li usano se il servizio richiede l'accesso senza restrizioni alle risorse locali, nel computer e non è possibile usare un account del servizio gestito .
- Verificare che il servizio del proprietario del servizio venga eseguito con un account del servizio gestito
- Usare un account del servizio gestito del gruppo (gMSA) o un account del servizio gestito autonomo (sMSA), se il servizio lo supporta
- Usare un account utente di dominio con le autorizzazioni necessarie per eseguire il servizio
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio, vedere gli articoli seguenti: