- Artigo
- 7 minutos para o fim da leitura
O Active Directory oferece quatro tipos de contas de serviço locais:
- Contas de serviços gerenciados de grupo (gMSAs)
- Contas de serviços gerenciados autônomos (sMSAs)
- Contas de computador
- Contas de usuário que funcionam como contas de serviço
É essencial controlar bem as contas de serviço para que você possa:
- Protegê-las com base em seus requisitos de caso de uso e finalidade.
- Gerenciar o ciclo de vida das contas e suas credenciais.
- Avaliá-las com base no risco a que elas serão expostas e as permissões que elas contêm.
- Certificar-se de que Active Directory e Azure Active Directory não têm contas de serviço obsoletas com permissões potencialmente de longe alcance.
Princípios para a criação de uma nova conta de serviço
Ao criar uma conta de serviço, entenda as considerações listadas na tabela a seguir:
| Princípio | Consideração |
|---|---|
| Mapeamento de conta de serviço | Vincule a conta de serviço a um único serviço, aplicativo ou script. |
| Propriedade | Verifique se há um proprietário que solicita e assume a responsabilidade pela conta. |
| Escopo | Defina claramente o escopo e antecipe a duração do uso para a conta de serviço. |
| Finalidade | Crie contas de serviço para uma finalidade única e específica. |
| Permissões | Aplique o princípio de permissões mínimas. Para fazer isso: |
| Monitorar e auditar uso | Monitore os dados de entrada e certifique-se de que eles correspondam ao uso pretendido. Defina alertas para uso anormal. |
Definir restrições para contas de usuário
Para contas de usuário que são usadas como contas de serviço, aplique as seguintes configurações:
Expiração da conta: defina a conta de serviço para expirar automaticamente em um determinado tempo após o período de revisão. A não ser que você tenha determinado que a conta deve continuar.
LogonWorkstations: restrinja as permissões onde a conta de serviço pode entrar. Se ela for executada localmente em um computador e acessar apenas os recursos nesse computador, restrinja-a de se conectar em qualquer outro lugar.
Não é possível alterar a senha: impeça que a conta de serviço altere a própria senha definindo o parâmetro como true.
Criar um processo de gerenciamento do ciclo de vida
Para ajudar a manter a segurança das suas contas de serviço, você deve gerenciá-las desde o momento em que identificar a necessidade até que elas sejam encerradas.
Para o gerenciamento do ciclo de vida de contas de serviço, use o processo a seguir:
- Coletar informações de uso para a conta.
- Mover a conta de serviço e o aplicativo ao banco de dados de gerenciamento de configuração (CMDB).
- Executar avaliação de risco ou uma revisão formal.
- Criar a conta de serviço e aplicar restrições.
- Agendar e executar revisões recorrentes. Ajuste as permissões e os escopos conforme necessário.
- Desprovisionar a conta quando apropriado.
Coletar informações de uso para a conta de serviço
Colete informações comerciais relevantes para cada conta de serviço. A tabela a seguir lista a quantidade mínima de informações a coletar, mas você deve coletar tudo o que é necessário para tornar o caso comercial para a existência de cada conta.
| Dados | Descrição |
|---|---|
| Proprietário | O usuário ou grupo que é responsável pela conta de serviço |
| Finalidade | A finalidade da conta de serviço |
| Permissões (escopos) | O conjunto de permissões esperado |
| Links do CMDB | A conta de serviço de vínculo cruzado com o script ou aplicativo de destino e proprietários |
| Risco | A pontuação de impacto nos riscos e nos negócios com base na avaliação de riscos de segurança |
| Tempo de vida | O tempo de vida máximo previsto para habilitar o agendamento da expiração ou da nova certificação da conta |
Idealmente, você deseja fazer a solicitação para um autoatendimento de conta e exigir as informações relevantes. O proprietário pode ser um aplicativo ou proprietário de negócios, um membro de TI ou um proprietário de infraestrutura. O uso de uma ferramenta como o Microsoft Forms para essa solicitação e informações associadas torna mais fácil portar isso para sua ferramenta de inventário do CMDB se a conta for aprovada.
Conta de serviço integrado ao CMDB
Armazene as informações coletadas em um aplicativo do tipo CMDB. Além das informações de negócios, inclua todas as dependências em outras infraestruturas, aplicativos e processos. Esse repositório central facilita:
- Avaliação do risco.
- Configurar a conta de serviço com as restrições necessárias.
- Compreender todas as dependências funcionais e de segurança relevantes.
- Condução de revisões regulares para segurança e necessidade contínua.
- Contatar os proprietários para revisar, desativar e alterar a conta de serviço.
Considere uma conta de serviço que é usada para executar um site e tem permissões para se conectar a um ou mais bancos de dados SQL de RH (recursos humanos). As informações armazenadas em seu CMDB para a conta de serviço, incluindo descrições de exemplo, estão listadas na tabela a seguir:
| Dados | Descrição de exemplo |
|---|---|
| Proprietário, Substituto | John Bloom, Anna Mayers |
| Finalidade | Executar a página da Web de RH e conectar-se aos bancos de dados de HR. Poder representar usuários finais ao acessar bancos de dados. |
| Permissões, escopos | HR-WEBServer: entrar localmente; executar página da Web HR-SQL1: entrar localmente; permissões de leitura em todos os bancos de dados de RH HR-SQL2: entrar localmente; permissões de leitura somente no banco de dados salarial |
| Centro de Custo | 883944 |
| Risco avaliado | Médio; Impacto nos negócios: Médio; informações particulares; Médio |
| Restrições de conta | Fazer logon em: somente servidores mencionados anteriormente; Não é possível alterar a senha; Política de MBI-Password; |
| Tempo de vida | Irrestrito |
| Ciclo de revisão | Semestral (por proprietário, pela equipe de segurança, por privacidade) |
Executar avaliação de risco ou revisão formal do uso da conta de serviço
Imagine que sua conta foi comprometida por uma fonte não autorizada. Avalie os riscos que a conta pode representar para seu aplicativo ou serviço associado e para sua infraestrutura. Considerar os riscos direto e indireto.
- Um usuário não autorizado obteria acesso direto ao quê?
- Quais outras informações ou sistemas a conta de serviço pode acessar?
- A conta pode ser usada para conceder permissões adicionais?
- Como você saberá quando as permissões forem alteradas?
Depois de realizar e documentar a avaliação de risco, você poderá descobrir que os riscos têm um impacto sobre:
- As restrições da conta.
- O tempo de vida da conta.
- Os requisitos de revisão de conta (cadência e revisores).
Criar uma conta de serviço e aplicar restrições de conta
Crie uma conta de serviço somente depois de concluir a avaliação de risco e documentar as informações relevantes em seu CMDB. Alinhe as restrições de conta com a avaliação de risco. Considere as seguintes restrições quando forem relevantes para sua avaliação:
Para todas as contas de usuário que você usar como contas de serviço, defina uma data de término realista e definitiva. Definir a data usando o sinalizador Conta Expira. Para saber mais, confira Set-ADAccountExpiration.
Faça logon no LogonWorkstation.
Requisitos da Política de senha.
Criação de conta em um local de unidade organizacional que garante o gerenciamento somente para usuários permitidos.
Configurar e coletar auditoria que detecta alterações na conta de serviço e o uso da conta de serviço.
Quando você estiver pronto para colocar a conta de serviço em produção, conceda acesso a ela com mais segurança.
Agendar revisões regulares de contas de serviço
Configurar revisões regulares de contas de serviço que são classificadas como de médio e alto risco. As revisões devem incluir:
Atestado de proprietário para a necessidade contínua da conta e uma justificativa de permissões e escopos.
Revisão por equipes de privacidade e segurança, incluindo uma avaliação de conexões upstream e downstream.
Dados de auditorias garantindo que ela está sendo usada apenas para os fins pretendidos.
Desprovisionar contas de serviço
No processo de desprovisionamento, primeiro remova as permissões e monitoramento e depois remova a conta, se apropriado.
Você desprovisiona contas de serviço quando:
O script ou aplicativo para o qual a conta de serviço foi criada é desativado.
A função no script ou aplicativo, para a qual a conta de serviço é usada (por exemplo, o acesso a um recurso específico), é desativada.
A conta de serviço foi substituída por uma conta de serviço diferente.
Depois de remover todas as permissões, remova a conta fazendo o seguinte:
Quando o aplicativo ou script associado for desprovisionado, monitore as entradas e o acesso a recursos para as contas de serviço associadas para ter certeza de elas não estão sendo usadas em outro processo. Se você tiver certeza de que ele não é mais necessário, vá para a próxima etapa.
Desabilite a conta de serviço para impedir a entrada e verifique se ela não é mais necessária. Criar uma política de negócios para o tempo que as contas devem permanecer desabilitadas.
Depois que a política de permanecer desabilitada for atendida, exclua a conta de serviço.
Para o MSAs: desinstalar a conta usando o PowerShell ou excluí-la manualmente do contêiner da conta de serviço gerenciado.
Para contas de computador ou de usuário: excluir manualmente a conta de dentro do Active Directory.
Próximas etapas
Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos:
- Introdução a contas de serviço locais
- Proteger contas de serviços gerenciados por grupo
- Proteger contas de serviços gerenciados autônomas
- Proteger contas de computador
- Proteger contas de usuário