Proteggere gli account del servizio basati sull'utente in Active Directory
Gli account utente locali erano l'approccio tradizionale per proteggere i servizi in esecuzione in Windows. Attualmente, usare questi account se gli account del servizio gestito del gruppo (gMSA) e gli account del servizio gestito autonomi (sMSA) non sono supportati dal servizio. Per informazioni sul tipo di account da usare, vedere Protezione degli account del servizio locale.
È possibile esaminare lo spostamento del servizio in un account del servizio di Azure, ad esempio un'identità gestita o un'entità servizio.
Altre informazioni:
- Informazioni sulle identità gestite per le risorse di Azure
- Protezione delle entità servizio in Microsoft Entra ID
È possibile creare account utente locali per fornire sicurezza per i servizi e le autorizzazioni usate dagli account per accedere alle risorse locali e di rete. Gli account utente locali richiedono la gestione manuale delle password, ad esempio altri account utente di Active Directory (AD). Gli amministratori del servizio e del dominio sono necessari per mantenere i processi di gestione delle password sicuri per proteggere gli account.
Quando si crea un account utente come account del servizio, usarlo per un solo servizio. Usare una convenzione di denominazione che chiarisca che si tratta di un account del servizio e del servizio a cui è correlato.
Vantaggi e problematiche
Gli account utente locali sono un tipo di account versatile. Gli account utente usati come account di servizio sono controllati dai criteri che regolano gli account utente. Usarli se non è possibile usare un account del servizio gestito. Valutare se un account computer è un'opzione migliore.
Le problematiche degli account utente locali sono riepilogate nella tabella seguente:
| Proposta | Mitigazione |
|---|---|
| La gestione delle password è manuale e comporta tempi di inattività più deboli per la sicurezza e il servizio | - Garantire la complessità regolare delle password e che le modifiche siano regolate da un processo che gestisce password complesse- Coordinare le modifiche delle password con una password del servizio, che consente di ridurre i tempi di inattività del servizio |
| L'identificazione degli account utente locali che sono account di servizio può essere difficile | - Documentare gli account del servizio distribuiti nell'ambiente - Tenere traccia del nome dell'account e delle risorse a cui possono accedere - Prendere in considerazione l'aggiunta del prefisso svc agli account utente usati come account di servizio |
Trovare gli account utente locali usati come account del servizio
Gli account utente locali sono simili ad altri account utente di Active Directory. Può essere difficile trovare gli account, perché nessun attributo dell'account utente lo identifica come account del servizio. È consigliabile creare una convenzione di denominazione per gli account utente usati come account del servizio. Ad esempio, aggiungere il prefisso svc a un nome del servizio: svc-HRData Connessione or.
Usare alcuni dei criteri seguenti per trovare gli account di servizio. Tuttavia, questo approccio potrebbe non trovare account:
- Attendibile per la delega
- Con i nomi delle entità servizio
- Con password che non scadono mai
Per trovare gli account utente locali usati per i servizi, eseguire i comandi di PowerShell seguenti:
Per trovare gli account attendibili per la delega:
Get-ADObject -Filter {(msDS-AllowedToDelegateTo -like '*') -or (UserAccountControl -band 0x0080000) -or (UserAccountControl -band 0x1000000)} -prop samAccountName,msDS-AllowedToDelegateTo,servicePrincipalName,userAccountControl | select DistinguishedName,ObjectClass,samAccountName,servicePrincipalName, @{name='DelegationStatus';expression={if($_.UserAccountControl -band 0x80000){'AllServices'}else{'SpecificServices'}}}, @{name='AllowedProtocols';expression={if($_.UserAccountControl -band 0x1000000){'Any'}else{'Kerberos'}}}, @{name='DestinationServices';expression={$_.'msDS-AllowedToDelegateTo'}}
Per trovare gli account con nomi di entità servizio:
Get-ADUser -Filter * -Properties servicePrincipalName | where {$_.servicePrincipalName -ne $null}
Per trovare gli account con password che non scadono mai:
Get-ADUser -Filter * -Properties PasswordNeverExpires | where {$_.PasswordNeverExpires -eq $true}
È possibile controllare l'accesso alle risorse sensibili e archiviare i log di controllo in un sistema SIEM (Security Information and Event Management). Usando Azure Log Analytics o Microsoft Sentinel, è possibile cercare e analizzare gli account del servizio.
Valutare la sicurezza dell'account utente locale
Usare i criteri seguenti per valutare la sicurezza degli account utente locali usati come account del servizio:
- Criteri di gestione delle password
- Account con appartenenza a gruppi con privilegi
- Autorizzazioni di lettura/scrittura per risorse importanti
Attenuare i potenziali problemi di sicurezza
Vedere la tabella seguente per i potenziali problemi di sicurezza degli account utente locali e le relative mitigazioni:
| Problema di sicurezza | Mitigazione |
|---|---|
| Gestione delle password | - Assicurarsi che la complessità delle password e la modifica delle password siano regolate dagli aggiornamenti regolari e dai requisiti delle password complesse - Coordinare le modifiche delle password con un aggiornamento delle password per ridurre al minimo i tempi di inattività del servizio |
| L'account è un membro dei gruppi con privilegi | - Esaminare l'appartenenza al gruppo - Rimuovere l'account dai gruppi con privilegi - Concedere i diritti e le autorizzazioni dell'account per l'esecuzione del servizio (rivolgersi al fornitore del servizio) - Ad esempio, negare l'accesso in locale o interattivo |
| L'account dispone di autorizzazioni di lettura/scrittura per le risorse sensibili | - Controllare l'accesso alle risorse sensibili - Archiviare i log di controllo in un sistema SIEM: Azure Log Analytics o Microsoft Sentinel - Correggere le autorizzazioni delle risorse se si rilevano livelli di accesso indesiderati |
Tipi di account sicuri
Microsoft non consiglia l'uso di account utente locali come account del servizio. Per i servizi che usano questo tipo di account, valutare se può essere configurato per l'uso di un account del servizio gestito del gruppo o di un account del servizio gestito. Valutare inoltre se è possibile spostare il servizio in Azure per abilitare l'uso di tipi di account più sicuri.
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio: