Quais são as práticas recomendadas para contas de serviço?

Question

Quais são as práticas recomendadas para contas de serviço?

#1 resposta do (7 votos)

9

Estamos executando vários serviços em nossa empresa usando uma conta de domínio compartilhada. Infelizmente, as credenciais dessa conta são amplamente distribuídas e usadas com frequência para fins de serviço e não serviço. Isso levou a uma situação em que é possível que os serviços fiquem temporariamente inativos devido ao bloqueio dessa conta compartilhada.

Obviamente, esta situação precisa mudar. O plano é alterar os serviços para serem executados em uma nova conta, mas não acho que isso seja suficiente, pois essa conta está sujeita à mesma política de bloqueio.

Minhas perguntas são: Devemos estar configurando as contas de serviço de maneira diferente de outras contas de domínio e, se o fizermos, como gerenciamos essas contas? Lembre-se de que estamos executando um domínio de 2003 e a atualização do controlador de domínio não é uma solução viável no curto prazo.

active-directory windows-server-2003 best-practices

por LockeCJ 28.09.2012 / 23:46

1 resposta

Tags active-directory windows-server-2003 best-practices

HP para a abertura da raiz da árvore de abrangência da Cisco ip público errante não acessível

score 7 · Answer 1

Algumas reflexões:

Uma conta por serviço, ou talvez por tipo de serviço, dependendo do seu ambiente.
As contas devem ser contas de domínio.
As contas devem ter uma senha strong que não expire *. Idealmente, gere uma senha aleatória que seja gravada em algum lugar (o KeePass é bom para isso) para que seja difícil para as pessoas usá-la para fazer logon. Falando nisso ...
... (Em geral), a conta deve ser membro de um grupo que não tenha os direitos para fazer logon interativamente. Isso pode ser controlado via Política de Grupo.
Tenha em mente o princípio do menor privilégio. As contas devem ter os direitos de que precisam para fazer seu trabalho e não mais . Tinta com isso, como mostra a gravyface, use as contas embutidas sempre que possível. Local Service quando o acesso à rede não é necessário. Network Service ao acessar a rede, pois a conta da máquina estará segura o suficiente e evite usar a conta Local System , quando possível.

* A menos que a política de segurança da sua empresa não seja compatível com isso, mas pelos sons das coisas, provavelmente é: -)