Quais são as práticas recomendadas para contas de serviço?

9

Estamos executando vários serviços em nossa empresa usando uma conta de domínio compartilhada. Infelizmente, as credenciais dessa conta são amplamente distribuídas e usadas com frequência para fins de serviço e não serviço. Isso levou a uma situação em que é possível que os serviços fiquem temporariamente inativos devido ao bloqueio dessa conta compartilhada.

Obviamente, esta situação precisa mudar. O plano é alterar os serviços para serem executados em uma nova conta, mas não acho que isso seja suficiente, pois essa conta está sujeita à mesma política de bloqueio.

Minhas perguntas são: Devemos estar configurando as contas de serviço de maneira diferente de outras contas de domínio e, se o fizermos, como gerenciamos essas contas? Lembre-se de que estamos executando um domínio de 2003 e a atualização do controlador de domínio não é uma solução viável no curto prazo.

    
por LockeCJ 28.09.2012 / 23:46

1 resposta

7

Algumas reflexões:

  • Uma conta por serviço, ou talvez por tipo de serviço, dependendo do seu ambiente.

  • As contas devem ser contas de domínio.

  • As contas devem ter uma senha strong que não expire *. Idealmente, gere uma senha aleatória que seja gravada em algum lugar (o KeePass é bom para isso) para que seja difícil para as pessoas usá-la para fazer logon. Falando nisso ...

  • ... (Em geral), a conta deve ser membro de um grupo que não tenha os direitos para fazer logon interativamente. Isso pode ser controlado via Política de Grupo.

  • Tenha em mente o princípio do menor privilégio. As contas devem ter os direitos de que precisam para fazer seu trabalho e não mais . Tinta com isso, como mostra a gravyface, use as contas embutidas sempre que possível. Local Service quando o acesso à rede não é necessário. Network Service ao acessar a rede, pois a conta da máquina estará segura o suficiente e evite usar a conta Local System , quando possível.

* A menos que a política de segurança da sua empresa não seja compatível com isso, mas pelos sons das coisas, provavelmente é: -)

    
por 29.09.2012 / 00:17