Administrar contas de serviço locais - Microsoft Entra (2023)

  • Artigo
  • 7 minutos para o fim da leitura

O Active Directory oferece quatro tipos de contas de serviço locais:

  • Contas de serviços gerenciados de grupo (gMSAs)
  • Contas de serviços gerenciados autônomos (sMSAs)
  • Contas de computador
  • Contas de usuário que funcionam como contas de serviço

É essencial controlar bem as contas de serviço para que você possa:

  • Protegê-las com base em seus requisitos de caso de uso e finalidade.
  • Gerenciar o ciclo de vida das contas e suas credenciais.
  • Avaliá-las com base no risco a que elas serão expostas e as permissões que elas contêm.
  • Certificar-se de que Active Directory e Azure Active Directory não têm contas de serviço obsoletas com permissões potencialmente de longe alcance.

Princípios para a criação de uma nova conta de serviço

Ao criar uma conta de serviço, entenda as considerações listadas na tabela a seguir:

PrincípioConsideração
Mapeamento de conta de serviçoVincule a conta de serviço a um único serviço, aplicativo ou script.
PropriedadeVerifique se há um proprietário que solicita e assume a responsabilidade pela conta.
EscopoDefina claramente o escopo e antecipe a duração do uso para a conta de serviço.
FinalidadeCrie contas de serviço para uma finalidade única e específica.
PermissõesAplique o princípio de permissões mínimas. Para fazer isso:
  • Nunca atribua permissões a grupos integrados, como administradores.
  • Remova as permissões do computador local, quando apropriado.
  • Adeque o acesso e use a delegação do Active Directory para acesso ao diretório.
  • Use permissões de acesso granular.
  • Configure expirações de conta e restrições baseadas em local em contas de serviço baseadas em usuário.
  • Monitorar e auditar usoMonitore os dados de entrada e certifique-se de que eles correspondam ao uso pretendido. Defina alertas para uso anormal.

    Definir restrições para contas de usuário

    Para contas de usuário que são usadas como contas de serviço, aplique as seguintes configurações:

    • Expiração da conta: defina a conta de serviço para expirar automaticamente em um determinado tempo após o período de revisão. A não ser que você tenha determinado que a conta deve continuar.

    • LogonWorkstations: restrinja as permissões onde a conta de serviço pode entrar. Se ela for executada localmente em um computador e acessar apenas os recursos nesse computador, restrinja-a de se conectar em qualquer outro lugar.

    • Não é possível alterar a senha: impeça que a conta de serviço altere a própria senha definindo o parâmetro como true.

    Criar um processo de gerenciamento do ciclo de vida

    Para ajudar a manter a segurança das suas contas de serviço, você deve gerenciá-las desde o momento em que identificar a necessidade até que elas sejam encerradas.

    Para o gerenciamento do ciclo de vida de contas de serviço, use o processo a seguir:

    1. Coletar informações de uso para a conta.
    2. Mover a conta de serviço e o aplicativo ao banco de dados de gerenciamento de configuração (CMDB).
    3. Executar avaliação de risco ou uma revisão formal.
    4. Criar a conta de serviço e aplicar restrições.
    5. Agendar e executar revisões recorrentes. Ajuste as permissões e os escopos conforme necessário.
    6. Desprovisionar a conta quando apropriado.

    Coletar informações de uso para a conta de serviço

    Colete informações comerciais relevantes para cada conta de serviço. A tabela a seguir lista a quantidade mínima de informações a coletar, mas você deve coletar tudo o que é necessário para tornar o caso comercial para a existência de cada conta.

    DadosDescrição
    ProprietárioO usuário ou grupo que é responsável pela conta de serviço
    FinalidadeA finalidade da conta de serviço
    Permissões (escopos)O conjunto de permissões esperado
    Links do CMDBA conta de serviço de vínculo cruzado com o script ou aplicativo de destino e proprietários
    RiscoA pontuação de impacto nos riscos e nos negócios com base na avaliação de riscos de segurança
    Tempo de vidaO tempo de vida máximo previsto para habilitar o agendamento da expiração ou da nova certificação da conta

    Idealmente, você deseja fazer a solicitação para um autoatendimento de conta e exigir as informações relevantes. O proprietário pode ser um aplicativo ou proprietário de negócios, um membro de TI ou um proprietário de infraestrutura. O uso de uma ferramenta como o Microsoft Forms para essa solicitação e informações associadas torna mais fácil portar isso para sua ferramenta de inventário do CMDB se a conta for aprovada.

    Conta de serviço integrado ao CMDB

    Armazene as informações coletadas em um aplicativo do tipo CMDB. Além das informações de negócios, inclua todas as dependências em outras infraestruturas, aplicativos e processos. Esse repositório central facilita:

    • Avaliação do risco.
    • Configurar a conta de serviço com as restrições necessárias.
    • Compreender todas as dependências funcionais e de segurança relevantes.
    • Condução de revisões regulares para segurança e necessidade contínua.
    • Contatar os proprietários para revisar, desativar e alterar a conta de serviço.

    Considere uma conta de serviço que é usada para executar um site e tem permissões para se conectar a um ou mais bancos de dados SQL de RH (recursos humanos). As informações armazenadas em seu CMDB para a conta de serviço, incluindo descrições de exemplo, estão listadas na tabela a seguir:

    DadosDescrição de exemplo
    Proprietário, SubstitutoJohn Bloom, Anna Mayers
    FinalidadeExecutar a página da Web de RH e conectar-se aos bancos de dados de HR. Poder representar usuários finais ao acessar bancos de dados.
    Permissões, escoposHR-WEBServer: entrar localmente; executar página da Web
    HR-SQL1: entrar localmente; permissões de leitura em todos os bancos de dados de RH
    HR-SQL2: entrar localmente; permissões de leitura somente no banco de dados salarial
    Centro de Custo883944
    Risco avaliadoMédio; Impacto nos negócios: Médio; informações particulares; Médio
    Restrições de contaFazer logon em: somente servidores mencionados anteriormente; Não é possível alterar a senha; Política de MBI-Password;
    Tempo de vidaIrrestrito
    Ciclo de revisãoSemestral (por proprietário, pela equipe de segurança, por privacidade)

    Executar avaliação de risco ou revisão formal do uso da conta de serviço

    Imagine que sua conta foi comprometida por uma fonte não autorizada. Avalie os riscos que a conta pode representar para seu aplicativo ou serviço associado e para sua infraestrutura. Considerar os riscos direto e indireto.

    • Um usuário não autorizado obteria acesso direto ao quê?
    • Quais outras informações ou sistemas a conta de serviço pode acessar?
    • A conta pode ser usada para conceder permissões adicionais?
    • Como você saberá quando as permissões forem alteradas?

    Depois de realizar e documentar a avaliação de risco, você poderá descobrir que os riscos têm um impacto sobre:

    • As restrições da conta.
    • O tempo de vida da conta.
    • Os requisitos de revisão de conta (cadência e revisores).

    Criar uma conta de serviço e aplicar restrições de conta

    Crie uma conta de serviço somente depois de concluir a avaliação de risco e documentar as informações relevantes em seu CMDB. Alinhe as restrições de conta com a avaliação de risco. Considere as seguintes restrições quando forem relevantes para sua avaliação:

    Quando você estiver pronto para colocar a conta de serviço em produção, conceda acesso a ela com mais segurança.

    Agendar revisões regulares de contas de serviço

    Configurar revisões regulares de contas de serviço que são classificadas como de médio e alto risco. As revisões devem incluir:

    • Atestado de proprietário para a necessidade contínua da conta e uma justificativa de permissões e escopos.

    • Revisão por equipes de privacidade e segurança, incluindo uma avaliação de conexões upstream e downstream.

    • Dados de auditorias garantindo que ela está sendo usada apenas para os fins pretendidos.

    Desprovisionar contas de serviço

    No processo de desprovisionamento, primeiro remova as permissões e monitoramento e depois remova a conta, se apropriado.

    Você desprovisiona contas de serviço quando:

    • O script ou aplicativo para o qual a conta de serviço foi criada é desativado.

    • A função no script ou aplicativo, para a qual a conta de serviço é usada (por exemplo, o acesso a um recurso específico), é desativada.

    • A conta de serviço foi substituída por uma conta de serviço diferente.

    Depois de remover todas as permissões, remova a conta fazendo o seguinte:

    1. Quando o aplicativo ou script associado for desprovisionado, monitore as entradas e o acesso a recursos para as contas de serviço associadas para ter certeza de elas não estão sendo usadas em outro processo. Se você tiver certeza de que ele não é mais necessário, vá para a próxima etapa.

    2. Desabilite a conta de serviço para impedir a entrada e verifique se ela não é mais necessária. Criar uma política de negócios para o tempo que as contas devem permanecer desabilitadas.

    3. Depois que a política de permanecer desabilitada for atendida, exclua a conta de serviço.

      • Para o MSAs: desinstalar a conta usando o PowerShell ou excluí-la manualmente do contêiner da conta de serviço gerenciado.

      • Para contas de computador ou de usuário: excluir manualmente a conta de dentro do Active Directory.

    Próximas etapas

    Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos:

    • Introdução a contas de serviço locais
    • Proteger contas de serviços gerenciados por grupo
    • Proteger contas de serviços gerenciados autônomas
    • Proteger contas de computador
    • Proteger contas de usuário
    Top Articles
    Latest Posts
    Article information

    Author: Geoffrey Lueilwitz

    Last Updated: 02/27/2023

    Views: 5756

    Rating: 5 / 5 (60 voted)

    Reviews: 91% of readers found this page helpful

    Author information

    Name: Geoffrey Lueilwitz

    Birthday: 1997-03-23

    Address: 74183 Thomas Course, Port Micheal, OK 55446-1529

    Phone: +13408645881558

    Job: Global Representative

    Hobby: Sailing, Vehicle restoration, Rowing, Ghost hunting, Scrapbooking, Rugby, Board sports

    Introduction: My name is Geoffrey Lueilwitz, I am a zealous, encouraging, sparkling, enchanting, graceful, faithful, nice person who loves writing and wants to share my knowledge and understanding with you.