Microsoft xizmat qaydnomalari har qanday Windows ekotizimining muhim qismidir, chunki ular veb-serverlardan tortib pochta transport agentlari va ma'lumotlar bazalarigacha bo'lgan asosiy xizmatlar va ilovalarni ishga tushirish uchun ishlatiladi. Ammo ko'pincha ular to'g'ri ishlatilmaydi yoki boshqarilmaydi, bu tashkilotni operatsion uzilishlar, xavfsizlik protokollarini buzish va tartibga solish talablariga rioya qilmaslik xavfini keltirib chiqaradi. Haqiqatan ham, xizmat hisobi bilan bog'liq muammolar IT xavfsizligini tahlil qilishda birinchi navbatda aniqlanadigan to'rtta asosiy muammolardan biridir.
Bugun biz hisoblaringizni samarali boshqarishning 10 ta eng yaxshi usuli haqida gaplashamiz.
Microsoft xizmat hisoblari - ular nima?
Microsoft xizmat qayd yozuvi Windows muhitida bir yoki bir nechta xizmatlar yoki ilovalarni ishga tushirish uchun foydalaniladigan hisob qaydnomasidir. Masalan, Exchange, SharePoint, SQL Server va Internet Information Services (IIS) xizmat hisoblari ostida ishlaydi. Xizmat hisobi xizmat uchun xavfsizlik kontekstini ta'minlaydi, boshqacha qilib aytganda, u xizmat qaysi mahalliy va tarmoq resurslariga kirishi mumkinligini va bu resurslar bilan nima qilishi mumkinligini aniqlaydi. Xizmat hisoblari ish stantsiyalarida, a'zo serverlarida va domen kontrollerlarida (DC) mavjud bo'lishi mumkin.
Microsoft xizmat hisoblarining bir nechta turlari mavjud, ularning har biri o'zining afzalliklari va kamchiliklariga ega:
- O'rnatilgan xizmat hisobi. Mahalliy kompyuteringizda dasturni uchta o'rnatilgan xizmat hisoblaridan biri ostida ishlashi uchun sozlashingiz mumkin: LocalService, NetworkService yoki LocalSystem. Ushbu hisoblarda parollar yo'q.
- An'anaviy xizmat hisobi. An'anaviy Microsoft xizmati hisob qaydnomasi oddiy foydalanuvchi hisobidir. Ideal holda, bu faqat ma'lum bir xizmatni ishga tushirish uchun yaratilgan va foydalaniladigan hisob qaydnomasi bo'lishi kerak, lekin ko'pincha biznes foydalanuvchilari va ma'murlari o'zlarining oddiy foydalanuvchi hisoblaridan maqsadga muvofiqligi uchun xizmat hisoblari sifatida foydalanadilar. O'rnatilgan xizmat hisoblaridan farqli o'laroq, bu hisoblarda parollar mavjud. Biroq, yuzlab yoki minglab xizmat hisoblari uchun parollarni boshqarish tezda murakkablashishi mumkin va xizmat hisobining parolini o'zgartirish u foydalaniladigan ilovalar yoki xizmatlarning buzilishi xavfini keltirib chiqaradi. Ko'pgina tashkilotlar o'zlarining ish hisoblari parollarini hech qachon muddati tugamaydigan va ularni hech qachon yangilamaydigan qilib o'rnatadilar, bu umuman parolga ega bo'lmaslikdan ko'ra yaxshiroq. An'anaviy xizmat hisoblari Active Directory Users and Computers (ADUC) yoki identifikatsiyani boshqarish yechimi kabi boshqa har qanday foydalanuvchi hisoblari kabi yaratilishi mumkin.
- Boshqariladigan xizmat hisobi (MSA) yoki aniqrog'i, mustaqil boshqariladigan xizmat hisobi (sMSA). Windows Server 2008 R2 da Microsoft boshqariladigan xizmat hisobini taqdim etdi, bu ma'murning har bir xizmat uchun hisob ma'lumotlarini qo'lda boshqarish zaruriyatini bartaraf etish orqali xavfsizlikni yaxshilaydi. qayd yozuvi. Buning o'rniga, sMSA murakkab parolni o'rnatadi va bu parolni muntazam ravishda o'zgartiradi (sukut bo'yicha har 30 kunda). sMSA-ni bir nechta kompyuterlar o'rtasida taqsimlab bo'lmaydi (shuning uchun "mustaqil" modifikator).
- Guruh tomonidan boshqariladigan xizmat hisobi (gMSA) - sMSA guruhi boshqariladigan xizmat hisobiga almashtirildi. gMSA sMSA bilan bir xil funksionallikni ta'minlaydi, lekin bir nechta serverlarda ishlatilishi mumkin va rejalashtirilgan vazifalarni bajarish uchun ishlatilishi mumkin. GMSAlar faqat Windows Server 2012 yoki undan keyingi versiyalarida ishlovchi kompyuterlarda sozlanishi va boshqarilishi mumkin, lekin ular hali ham oldingi operatsion tizimlarda ishlaydigan domen kontrollerlari mavjud bo'lgan domenlarda joylashtirilishi mumkin. Domen yoki o'rmon funktsional darajasiga talablar yo'q. gMSA yaratish uchun New-ADServiceAccount PowerShell cmdletidan foydalaning. (Istagan parolni o'zgartirish oralig'ini belgilaganingizga ishonch hosil qiling, chunki uni keyinroq o'zgartira olmaysiz!) Yangi gMSA boshqariladigan xizmat hisoblari konteynerida joylashgan bo'ladi. Keyin Install-ADServiceAccount-dan foydalanib, gMSA-ni xostga o'rnating. Qo'shimcha ma'lumot olish uchun Microsoft ko'rsatmalariga qarang.
- Virtual xizmat hisobi. sMSA singari, virtual hisoblar Windows Server 2008 R2 da joriy qilingan. Siz virtual hisobni qo'lda yarata olmaysiz yoki o'chira olmaysiz; NT SERVICE\ formatidagi nomli xizmatni o'rnatishda avtomatik ravishda yaratiladi. . Virtual hisob ostida ishlaydigan xizmat <domen nomi>\<kompyuter nomi>$ formatidagi kompyuter hisobi hisob ma'lumotlaridan foydalangan holda tarmoq resurslariga kirish imkonini beradi.
Microsoft xizmat hisoblarini yaratish, ishlatish va boshqarish uchun 10 ta eng yaxshi amaliyot
1. Sizda qanday xizmat hisoblari borligini va ular nima uchun ishlatilishini biling.
Har qanday narsani samarali boshqarish uchun birinchi qadam - bularning barchasini to'liq va aniq inventarizatsiya qilishdir. Bizning holatda, xizmat hisoblari sifatida ishlatiladigan barcha hisoblarni aniqlash, ular qayerda va qanday ishlatilishini aniq tushunish va parollari oxirgi marta qachon o'zgartirilganligi kabi asosiy ko'rsatkichlarni kuzatish juda muhimdir.
Afsuski, bu vazifa birinchi qarashda ko'rinadiganidan ancha qiyin. Yuqorida ta'kidlab o'tilganidek, Microsoft xizmat hisoblari ish stantsiyalarida, a'zo serverlarida va domen kontrollerlarida mavjud bo'lishi mumkin va xizmat hisoblari sifatida foydalanish mumkin bo'lgan ko'plab turli xil hisoblar mavjud, shu jumladan standart foydalanuvchi hisoblari. Mahalliy vositalar yordamida siz turli xil mashinalarning har biriga borishingiz va unda ilovalar va xizmatlar qanday sozlanganligini aniqlashingiz kerak. Shubhasiz, buni qo'lda qilish amaliy emas. Shuning uchun Get-ADServiceAccount PowerShell cmdlet yordamida skript yozish yoki korporativ xavfsizlik hisobotining keng qamrovli yechimi yordamida skanerlashni avtomatlashtirishingiz kerak.
2. Administratorlarga shaxsiy akkauntlaridan xizmat hisobi sifatida foydalanishiga ruxsat bermang.
Administratorlar ba'zan o'zlarining foydalanuvchi hisoblarini xizmat hisobi sifatida ishlatishadi. Bu juda qulay ko'rinishi mumkin. Nima xato bo'lishi mumkin?
Ko'p jihatlar. Birinchidan, bu administrator hisobi uchun qo'shimcha ta'sir qilish darajasi. Agar xaker xizmat akkauntini buzib qo'ysa, u hisobdagi barcha imtiyozlarga ega bo'ladi, ya'ni faqat bitta dasturni ishga tushirish emas, balki administrator domenda qilishi mumkin bo'lgan hamma narsani anglatadi. Bu, shuningdek, javobgarlikni buzadi, chunki administrator hisobi qilganlar jurnali endi amalda ilova tomonidan bajariladigan harakatlarni o'z ichiga oladi. Va nihoyat, biznesning uzluksizligi: administrator o'z parolini yangilasa yoki tashkilotni tark etsa va uning hisobi o'chirilsa nima bo'ladi? Ushbu hisob qaydnomasidan xizmat hisobi sifatida foydalanadigan barcha ilovalar va xizmatlar birdan ishlamay qoladi.
Ushbu muammolarni oldini olish uchun hech qachon ma'murlarga shaxsiy hisoblaridan xizmat hisobi sifatida foydalanishiga ruxsat bermang. Har qanday qoidabuzarliklarni aniqlash uchun tegishli tartib-qoidalar bo'yicha treninglar o'tkazing va xizmat hisobidan foydalanishni muntazam ravishda ko'rib chiqing.
3. Har bir xizmat uchun ushbu xizmatga tayinlangan Microsoft xizmati qayd yozuvidan foydalaning.
Agar bir nechta ilovalar uchun bir xil xizmat hisob qaydnomasidan foydalansangiz, shunga o'xshash muammolar yuzaga keladi. Xavfsizlikdan boshlaylik. LocalSystem kabi o'rnatilgan xizmat hisoblari ko'pincha bir nechta xizmatlarni ishga tushirish uchun ishlatiladi. Bu hisoblarning har biri oʻzining standart ruxsatnomalariga ega, biroq vaqt oʻtishi bilan bu ruxsatlar toʻplami kengayish tendentsiyasiga ega boʻladi, chunki maʼlum bir ilova qoʻshimcha huquqlarni talab qiladi va bu qoʻshimcha ruxsatlardan faqat bittasi emas, barcha xizmatlar foydalanishi mumkin.
Mas'uliyat va muammolarni bartaraf etish ham ancha murakkablashadi. Misol uchun, agar umumiy xizmat hisobining paroli o'zgartirilsa, eski parol yordamida autentifikatsiya qilish uchun ilovaning har bir urinishi muvaffaqiyatsiz bo'ladi; ilovalar ishlamayotganini ko'rasiz, lekin asosiy sababni aniqlash qiyin bo'lishi mumkin. Bundan tashqari, agar umumiy xizmat hisobi o'chirilsa yoki uning paroli o'zgartirilsa, sizda bir nechta xizmatlar o'chirib qo'yiladi, bu esa biznesga ta'sirini kuchaytiradi.
Ushbu eng yaxshi amaliyotga amal qilayotganingizga ishonch hosil qilish uchun muntazam ravishda Enterprise Reporter kabi yechimdan foydalanib, barcha kompyuterlaringizni skanerlang va qaysi hisoblardan xizmat sifatida foydalanilayotgani haqida hisobot yarating. Agar bir nechta xizmatlar Microsoft xizmat qaydnomasini baham ko'rsa, har bir xizmatni maxsus hisob qaydnomasi bilan to'g'ri sozlashingiz mumkin.
4. Minimal imtiyozlarni qat'iy ta'minlash.
Bundan tashqari, har bir xizmat hisobi faqat o'z vazifasini bajarish uchun zarur bo'lgan ruxsatlarga ega bo'lishini ta'minlash muhimdir. Eng kam imtiyozlarni qat'iy tatbiq etish hech qachon oson bo'lmasa-da, har bir xizmat o'zining Microsoft xizmat hisobiga ega bo'lsa, ishlar ancha osonlashadi.
Esda tutingki, sotuvchilar ko'pincha ularning ilovalari domen administratori huquqlarini talab qiladi, deb aytishadi, lekin aslida bu har doim ham shunday emas. Ko'pincha bu imtiyoz darajasi faqat xizmatni dastlabki o'rnatish uchun talab qilinadi, keyingi ishga tushirish uchun emas. Har bir xizmat hisobiga faqat unga kerak bo'lgan ruxsatlarni berish (boshqa hisob qaydnomalari kabi) orqali siz hisob buzilgan, ilova buzilgan yoki jiddiy dasturiy xato bo'lsa, etkazilishi mumkin bo'lgan zararni cheklaysiz.
5. Xizmat hisoblari uchun interaktiv login zarurligini baholang
Xizmat interaktiv tizimga kirish imkoniyatiga ega bo'lishi kerakligiga alohida e'tibor bering. Interaktiv login odatda hujjat yaratish, jamoadoshiga xabar yuborish, qoʻllab-quvvatlash chiptasini yaratish va hokazolar orqali AT muhiti bilan oʻzaro aloqada boʻlishi kerak boʻlgan shaxslar bilan chegaralanadi. Boshqa tomondan, xizmat hisoblari odatda xizmatlarni sahna ortida boshqaradi. bunday o'zaro ta'sir. Aslida, ba'zi ekspertlar interaktiv kirishni amalga oshiradigan xizmat hisoblarini qizil bayroq sifatida ko'rib chiqishni maslahat berishadi. Ushbu eng yaxshi amaliyotni amalga oshirish usullaridan biri barcha Microsoft xizmat hisoblarini maxsus AD xavfsizlik guruhiga joylashtirish va ushbu guruhdagi har qanday hisobning interaktiv tarzda tizimga kirishini oldini olish uchun Guruh siyosatidan foydalanishdir.
Ammo shuni yodda tutingki, ba'zi xizmatlar interaktiv tizimga kirishni talab qilishi mumkin. Bir misol, harakatni amalga oshirish uchun boshqa kompyuterlar bilan bog'lanadigan tizimni boshqarish vositasi bo'lishi mumkin. Bunday holatlarda siz bog'langan xizmat hisobini Guruh siyosati tomonidan boshqariladigan guruhdan chiqarib tashlashni xohlaysiz, lekin hisob noto'g'ri ishlatilayotganligini bilish uchun boshqa monitoring boshqaruvlarini o'rnatganingizga ishonch hosil qiling.
6. Iloji boricha MSA dan foydalaning.
MSA an'anaviy xizmat hisoblariga nisbatan ko'p afzalliklarni taklif qiladi, shuning uchun ularni iloji boricha ishlatishingiz kerak. Xususan, MSA'lar interaktiv loginlarni amalga oshira olmaydi va ularni bloklab bo'lmaydi va ularning parollari operatsion tizim tomonidan avtomatik ravishda boshqariladi, shuning uchun hech kim parolni bilishi yoki uni o'zgartirishni eslashi shart emas.
7. Agar siz MSA dan foydalana olmasangiz, xizmat hisob qaydnomangiz parollarini muntazam ravishda o'zgartirishni unutmang.
Agar ilova MSA-ni qo'llab-quvvatlamasa, siz oddiy Microsoft xizmat hisob qaydnomasidan foydalanishingiz kerak bo'ladi. Bunday holda, bir nechta keng tarqalgan xatolardan qochishingizga ishonch hosil qiling:
- Hech qachon xizmat hisobini ilova sotuvchisi tanlagan standart parol bilan qoldirmang. Xakerlar ushbu parollarni osongina onlayn tarzda topishlari va tarmoqqa kirishlari mumkin.
- Oddiy parollarni tanlamang. "1234" yoki "parol" iboralarini kiritish oson, lekin ularni buzish juda oson.
- Hech qachon muddati tugamaydigan parol o'rnatmang. Ko'pincha tashkilotlar xizmat hisobi parollarini yillar davomida o'zgarmagan holda qoldiradilar, bu esa hisobni noto'g'ri ishlatish yoki buzish xavfini sezilarli darajada oshiradi.
Buning o'rniga, har bir xizmat hisobi uchun juda kuchli parolni tanlang va uning doimiy ravishda o'zgarib turishiga ishonch hosil qiling. Siz uchun hisob ma'lumotlarini boshqarishi mumkin bo'lgan imtiyozli hisobni boshqarish (PAM) yechimiga sarmoya kiritishni o'ylab ko'ring; Shunday qilib, hech kim hech qachon parol nima ekanligini bilmaydi va uni avtomatik ravishda o'zgartirish mumkin.
8. Xizmat hisobini yoki parolni tezda tiklashingiz mumkinligiga ishonch hosil qiling.
Albatta, Microsoft xizmati hisob qaydnomasi uchun parolni o'zgartirish xavf bilan birga keladi: agar o'zgartirish to'g'ri bajarilmasa, u bilan bog'langan dastur yoki xizmat endi ishlay olmaydi. Bundan tashqari, xizmat hisobining o'zi ham o'chirilishi mumkin, masalan, hisob qaydnomasini muntazam tozalash paytida yoki yuqorida aytib o'tilganidek, ma'mur tashkilotni tark etganda, lekin hisob xizmat qaydnomasi sifatida foydalanilganda muntazam ravishda o'chirishning bir qismi sifatida o'chirilishi mumkin. .
Agar bu sodir bo'lsa, muhim biznes jarayonlari osongina buzilishi mumkin va soat o'tib ketadi. Shuning uchun, Active Directory zahiralash va tiklashning keng qamrovli yechimiga sarmoya kiritib, xatolik tufayli oʻchirilgan har qanday Microsoft xizmat hisobini tezda tiklashingiz, shuningdek, parollar kabi hisob xususiyatlarini tanlab tiklashingiz tavsiya etiladi.
9. Har doim xizmat hisoblarini delegatsiya qilishni cheklang.
Microsoft xizmati hisob qaydnomasi boshqa foydalanuvchi sifatida tizimga kirmasdan foydalanuvchi nomidan resurslarga kirishga ruxsat berish uchun sozlanishi mumkin. Masalan, sizda SQL Server ma'lumotlar bazasidagi ma'lumotlarga kirishi kerak bo'lgan veb-serveringiz bor deylik. Ehtimol, veb-serverni boshqaradigan xizmat hisobiga ma'lumotlar bazasiga to'g'ridan-to'g'ri kirish uchun ruxsat berishni xohlamaysiz; Delegatsiyadan foydalanib, uni o'z hisob ma'lumotlari yordamida tizimga kirgan foydalanuvchi nomidan ushbu resurslarni so'rashni yoqishingiz mumkin.
Albatta, agar delegatsiya tekshirilmasa, bu ko'plab xavfsizlik muammolariga eshikni ochadi, chunki hisob foydalanuvchi nomidan faqat unga kerak bo'lgan xizmatlarda emas, balki har qanday xizmatda harakat qilishi mumkin. Shuning uchun, cheklangan delegatsiyaga ega bo'lgan xizmat hisoblarini sozlash va xizmat hisobi foydalanuvchi nomidan harakat qilishi mumkin bo'lgan xizmatlarni ro'yxatga olish muhimdir.
Microsoft xizmati hisob qaydnomasi vakolatini cheklash uchun Active Directory foydalanuvchilari va kompyuterlarini oching, Ko'rish-ga o'ting va Kengaytirilgan xususiyatlarni yoqing. Xizmat qaydnomasini o'ng tugmasini bosing va Delegatsiya-ni tanlang. Keyin "Ushbu foydalanuvchiga faqat belgilangan xizmatlarga vakolat berish" bandini tanlang va quyidagi oynada tegishli xizmatlarni tanlang. Bundan tashqari, faqat Kerberos protokoliga ruxsat berish oqilona, chunki u eng xavfsiz autentifikatsiya protokoli hisoblanadi. (Kerberos autentifikatsiyasidan foydalanish uchun xizmat qaydnomasi Active Directoryda roʻyxatdan oʻtgan Xizmatning asosiy nomiga (SPN) ega boʻlishi kerakligini unutmang.)
10. Endi keraksiz hisoblarni tozalang.
Xizmat hisoblarining ko'payishi ham tashvishlanishingiz kerak bo'lgan narsadir. Axir, sizning IT muhitingiz dasturiy echimlar doimiy ravishda yangi va yaxshiroq texnologiyalar bilan almashtiriladigan juda dinamik joydir. Ammo xizmatlar yoki ilovalar o'chirilganda, bog'langan xizmat hisoblari ko'pincha tozalanmaydi. Bu hisoblar zararsiz emas: ular sizning katalogingizni chalkashtirib yuboradi va ruxsatnomalardan xabardor bo‘lishingizni qiyinlashtiradi va ular xavfsizlik muammosi, chunki xaker ularni o‘g‘irlashi va ularni sizning muhitingizda o‘z o‘rnini egallash uchun ishlatishi mumkin (ayniqsa, agar siz ruxsat bermagan bo‘lsangiz). Eng kam imtiyozlarni ta'minlashda qat'iy bo'lmagan).
Shuning uchun Microsoft xizmat hisob qaydnomalaringizni muntazam tekshirib turish va foydalanilmayotganlarini aniqlash muhimdir. Enterprise Reporter kabi yechim ishlarni osonlashtiradi; Siz shunchaki hisobotni xohlagan jadvalingiz bo'yicha ishlashni rejalashtirishingiz va endi faol bo'lmagan xizmat hisoblarini tekshirishingiz mumkin. Agar qo'shimcha tekshiruv ma'lum bir hisob haqiqatan ham kerak emasligini aniqlasa, uni o'chirib qo'yishingiz yoki o'chirishingiz yoki xakerlar uchun tuzoq sifatida foydalanishingiz mumkin. Boshqariladigan xizmat hisobini o'chirish uchun Remove-ADServiceAccount cmdletidan foydalaning.
Hali ham savollaringiz bormi?
Microsoft xizmat hisoblari IT ekotizimingizning ajralmas qismidir. Ular odatda yuqori ruxsatlarga ega bo'lgani uchun ularni to'g'ri boshqarish juda muhimdir. Ushbu ko'rsatmalarga rioya qilish xavfsizlik hodisalari, operatsion uzilishlar va me'yoriy hujjatlarga rioya qilish muammolaridan qochishga yordam beradi.
Biz Fanetech kompaniyasida har qanday savollarga javob berishdan mamnun bo'lamiz. Faqat biz bilan bog'laning.