了解如何管理和保护Active Directory服务帐户

在典型的Active Directory环境中，有许多不同类型的帐户。这些帐户包括用户帐户、计算机帐户和一种称为服务帐户.

服务帐户是一种特殊类型的帐户，为环境中的服务和最终应用程序提供特定用途。

这些专用Active Directory帐户也是环境中网络安全风险的主体。

什么是服务账户？它对本地系统有什么特权？哪些网络安全风险可能与环境中使用的服务帐户有关？IT管理员如何找到Active Directory中用于服务帐户的弱密码或未过期密码？

什么是Windows服务？

正如一开始提到的，特定的Active Directory帐户在Active Directory域服务（ADDS）中有不同的用途。您可以将Active Directory帐户指定为服务帐户，这是一个特殊用途的帐户，大多数组织创建并使用它来运行其环境中Windows服务器上的Windows服务。

要了解服务帐户的作用，什么是Windows服务？Windows服务是Microsoft Windows操作系统（包括客户端和服务器）的一个组件，它允许长时间运行的进程在主机运行期间执行和运行。

与最终用户执行的应用程序不同，Windows服务不是由登录到系统的最终用户执行的。服务在后台运行，并在Windows主机最初启动时启动，具体取决于服务的配置行为。

 

什么是Windows服务帐户？

即使Windows服务不是由登录Windows系统的最终用户以交互方式运行，它也需要一个Windows服务服务帐户允许服务在具有特殊权限的特定用户上下文下运行。

Windows服务与任何其他进程一样，具有安全标识。此安全标识决定了它在本地计算机和网络上继承的权利和特权。

必须记住此安全标识，因为这决定了服务帐户在多大程度上可能会破坏其运行的本地系统和整个网络。遵循最低特权关于服务帐户的最佳实践模型有助于确保服务帐户在本地和网络上没有过度提供的权限。

Windows服务可以在本地Windows用户帐户、Active Directory域用户帐户或特殊帐户下运行本地系统账户在本地Windows用户帐户、Active Directory域用户帐户或特殊帐户下运行Windows服务帐户之间存在什么区别本地系统账户

• 本地Windows用户帐户-本地Windows用户是仅存在于本地Windows服务器或客户端操作系统的本地SAM数据库中的用户。该帐户仅为本地帐户，不以任何方式绑定到Active Directory。对服务使用本地Windows用户有一些限制。其中包括无法支持Kerberos相互身份验证，以及当服务启用目录时遇到的问题。但是，本地Windows服务帐户不能损坏本地Windows系统。本地Windows用户在用于服务帐户时受到限制。

• Active Directory域用户帐户-驻留在Active Directory域服务（ADDS）中的域用户帐户是Windows服务的首选帐户类型。它允许利用Windows和Windows中的各种安全功能。Active Directory用户承担本地和整个网络的所有权限，以及授予其所属组的权限。此外，它还可以支持Kerberos相互身份验证。请记住，用于Windows服务帐户的Active Directory域用户帐户不应是管理员组的成员。
• 当选择域帐户运行Windows服务时，它将被授予作为服务登录就在服务运行的本地计算机上。
• 本地系统 账户– 使用特殊的本地系统账户是一把双刃剑。一方面，使用Windows服务的LocalSystem帐户允许该服务不受限制地访问Windows系统，这可能有助于防止与Windows组件交互的问题。然而，这是一个巨大的安全劣势，因为该服务可能会损坏系统或成为网络攻击的对象。如果受到攻击，在LocalSystem下运行的Windows服务具有全面的管理员访问权限。

Windows服务帐户是环境中的关键帐户。选择正确类型的用户帐户来运行Windows服务有助于确保服务正常运行并具有适当的权限。哪些公共服务账户做法会在环境中引入网络安全风险？

共同事务账户做法

由于服务帐户是专用帐户，用于确定环境中业务关键型应用程序的安全标识，因此服务帐户密码通常会为其设置标志密码永不过期.

我们的想法是，一旦登录超时，并且登录会话与域控制器刷新，过期的服务帐户密码将导致业务应用程序失败。这是真的。密码过期肯定会导致服务帐户支持的应用程序出现不必要的行为。

随着大多数环境中Windows服务帐户的数量增加，管理密码过期的服务帐户可能会变得困难。然而，从安全角度来看，这当然是最好的。

将服务帐户密码设置为永不过期

在某些组织中，看到多个服务帐户设置了相同密码的服务帐户也很常见。其思想是，为多个服务帐户设置相同的密码有助于减轻记录密码的负担，因为密码在多个帐户之间共享。

然而，这也可能是一种危险的做法。如果一个组织侵犯了一个服务帐户，使用相同密码的帐户也有风险。最好在所有Active Directory帐户（包括服务帐户）之间保持密码唯一。

总的来说，即使在运行大量Windows服务并控制业务关键型应用程序的小型环境中，管理服务帐户和服务帐户密码也会变得非常困难。

仅仅识别密码设置为不过期的服务帐户和可能设置了相同密码的服务帐户可能是一个挑战。组织如何轻松地保持对这些类型的帐户安全问题的可见性？

使用Specops密码审计员管理和维护服务帐户

Specops Password Auditor是一个很棒的免费工具，有助于了解环境中的Active Directory帐户安全问题。它可以帮助快速识别可能设置了密码不过期标志并配置了相同密码的帐户，包括服务帐户。

下面，Specops Password Auditor指出了几个服务帐户安全问题，包括：

• 破解密码
• 相同的密码
• 密码永不过期

Specops密码审核器可让用户了解薄弱的服务帐户做法

您可以从Specops密码审核员那里获得更多详细信息，方法是深入到各个类别，查看帐户问题的更详细视图。下面是该项目的详细视图密码永不过期账户很容易找到配置了静态、不过期密码的服务帐户。

查看设置了密码永不过期标志的服务帐户

使用Specops Password Auditor，您可以快速处理Active Directory中可能存在需要更正的安全问题的服务帐户。

收尾

在Active Directory环境中管理和保护服务帐户是环境整体安全的关键一步。服务帐户非常重要，因为它们为其支持的服务提供本地资源和网络资源的安全上下文、权限和权限。

在许多企业环境中，在处理服务帐户时存在许多常见的、不安全的做法，包括未过期的密码、相同的密码，甚至配置的密码被破解。A.

Specops Password Auditor有助于快速了解环境中的所有帐户安全问题，包括服务帐户，因此IT管理员可以快速解决这些问题。