Protezione degli account del servizio locale
Un servizio ha un'identità di sicurezza primaria che determina i diritti di accesso per le risorse locali e di rete. Il contesto di sicurezza per un servizio Microsoft Win32 è determinato dall'account del servizio usato per avviare il servizio. Si usa un account del servizio per:
- Identificare e autenticare un servizio.
- Avviare correttamente un servizio.
- Accedere o eseguire codice o un'applicazione.
- Avviare un processo.
Tipi di account del servizio locale
A seconda del caso d'uso, è possibile usare un account del servizio gestito (MSA), un account computer o un account utente per eseguire un servizio. È prima necessario testare un servizio per verificare che possa usare un account del servizio gestito. Se il servizio può usare un account del servizio gestito, è consigliabile usarne uno.
Account dei servizi gestiti di gruppo
Per i servizi eseguiti nell'ambiente locale, usare gli account del servizio gestito del gruppo (gMSA), quando possibile. Gli account del servizio gestito del gruppo offrono una singola soluzione di gestione delle identità per i servizi eseguiti in una server farm o dietro un servizio di bilanciamento del carico di rete. Gli account del servizio gestito del gruppo possono essere usati anche per i servizi eseguiti in un singolo server. Per informazioni sui requisiti per gMSA, vedere Introduzione agli account del servizio gestito del gruppo.
Account del servizio gestiti autonomi
Se non è possibile usare un gMSA, usare un account del servizio gestito autonomo (sMSA). Gli sMSA richiedono almeno Windows Server 2008 R2. A differenza degli account del servizio gestito del gruppo, gli account del servizio gestito vengono eseguiti in un solo server. Possono essere usati per più servizi in tale server.
Account computer
Se non è possibile usare un MSA, è consigliabile usare un account computer. L'account LocalSystem è un account locale predefinito che dispone di autorizzazioni estese nel computer locale e funge da identità del computer nella rete.
I servizi eseguiti come account LocalSystem consentono di accedere alle risorse di rete usando le credenziali dell'account del computer nel formato <nome_dominio>\<nome_computer>. Il nome predefinito è NT AUTHORITY\SYSTEM. È possibile usarlo per avviare un servizio e fornire un contesto di sicurezza per tale servizio.
Nota
Quando si usa un account computer, non è possibile determinare quale servizio nel computer usa tale account. Di conseguenza, non è possibile controllare quale servizio sta apportando modifiche.
Account utente
Se non è possibile usare un MSA, è consigliabile usare un account utente. Un account utente può essere un account utente di dominio o uno locale.
Un account utente di dominio consente al servizio di sfruttare appieno le funzionalità di sicurezza del servizio di Windows e Microsoft Active Directory Domain Services. Il servizio avrà autorizzazioni locali e di rete concesse all'account. Avrà anche le autorizzazioni di tutti i gruppi di cui l'account è membro. Gli account del servizio di dominio supportano l'autenticazione reciproca Kerberos.
Un account utente locale (formato nome: .\UserName) è presente solo nel database di Gestione account di sicurezza del computer host. Non dispone di un oggetto utente in Servizi di dominio Active Directory. Un account locale non può essere autenticato dal dominio. Pertanto, un servizio eseguito nel contesto di sicurezza di un account utente locale non ha accesso alle risorse di rete (ad eccezione di un utente anonimo). I servizi eseguiti nel contesto utente locale non possono supportare l'autenticazione reciproca Kerberos in cui il servizio viene autenticato dai client. Per questi motivi, gli account utente locali sono in genere inappropriati per i servizi abilitati alla directory.
Importante
Gli account di servizio non devono essere membri di alcun gruppo con privilegi, perché l'appartenenza al gruppo con privilegi conferisce autorizzazioni che potrebbero essere un rischio per la sicurezza. Ogni servizio deve avere un proprio account di servizio per scopi di controllo e sicurezza.
Scegliere il tipo corretto di account del servizio
Criterio | gMSA | sMSA | Account del computer | Account utente |
---|---|---|---|---|
L'app viene eseguita in un singolo server | Sì | Sì. Se possibile, usare un gMSA. | Sì. Se possibile, usare un account del servizio gestito. | Sì. Se possibile, usare un account del servizio gestito. |
L'app viene eseguita su più server | Sì | No | No. L'account è associato al server. | Sì. Se possibile, usare un account del servizio gestito. |
L’app viene eseguita dietro un servizio di bilanciamento del carico | Sì | No | No | Sì. Usare solo se non è possibile usare un account del servizio gestito del gruppo. |
App eseguita in Windows Server 2008 R2 | No | Sì | Sì. Se possibile, usare un account del servizio gestito. | Sì. Se possibile, usare un account del servizio gestito. |
Le app sono eseguite in Windows Server 2012 | Sì | Sì. Se possibile, usare un gMSA. | Sì. Se possibile, usare un account del servizio gestito. | Sì. Se possibile, usare un account del servizio gestito. |
Requisito di limitare l'account del servizio a un singolo server | No | Sì | Sì. Se possibile, usare un account del servizio gestito del servizio gestito. | No |
Usare i log del server e PowerShell per analizzare
È possibile usare i log del server per determinare i server e il numero di server in cui è in esecuzione un'applicazione.
Per ottenere un elenco della versione di Windows Server per tutti i server della rete, è possibile eseguire il comando di PowerShell seguente:
Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' `
-Properties Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
sort-Object -Property Operatingsystem |
Select-Object -Property Name,Operatingsystem,OperatingSystemVersion,IPv4Address |
Out-GridView
Trovare gli account del servizio locale
È consigliabile aggiungere un prefisso, ad esempio "svc-" a tutti gli account usati come account di servizio. Questa convenzione di denominazione semplifica la ricerca e la gestione degli account. Prendere in considerazione anche l'uso di un attributo descrittivo per l'account del servizio e il proprietario dell'account del servizio. La descrizione può essere un alias del team o un proprietario del team di sicurezza.
Trovare gli account del servizio locale è fondamentale per garantire la sicurezza. Questa operazione può essere difficile per gli account non del servizio gestito. È consigliabile prendere in esame tutti gli account che hanno accesso alle risorse locali importanti e determinare quali account computer o utente potrebbero fungere da account del servizio.
Per informazioni su come trovare un account del servizio, vedere l'articolo sul tipo di account nella sezione "Passaggi successivi".
Documentare gli account del servizio
Dopo aver trovato gli account del servizio nell'ambiente locale, documentare le informazioni seguenti:
Proprietario: persona responsabile della gestione dell'account.
Scopo: l'applicazione rappresentata dall'account o altro scopo.
Ambiti di autorizzazione: le autorizzazioni di cui dispone o deve disporre e gli eventuali gruppi di cui è membro.
Profilo di rischio: rischio per l'azienda se questo account è compromesso. Se il rischio è elevato, usare un account del servizio gestito.
Durata prevista e attestazione periodica: per quanto tempo si prevede che l'account sarà attivo e la frequenza con cui il proprietario deve prendere in esame e attestare la sua necessità continuativa.
Sicurezza delle password: per gli account utente e computer locale, in cui è archiviata la password. Assicurarsi che le password siano protette e documentare chi ha accesso. Prendere in considerazione l'uso di Windows LAPS per proteggere gli account nei computer locali.
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio, vedere gli articoli seguenti: