保护 Active Directory 中服务帐户的 3 种方法

如果您正在寻找组织中的安全弱点，那么审核服务帐户并不是一个好的起点。 Active Directory 审核应包括确定分配给每个帐户的权限、密码强度、上次重置时间以及它是否是域帐户、本地帐户、托管服务帐户 (MSA) 还是组托管服务帐户 (gMSA) 。

服务可以配置为使用本地服务、网络服务或本地系统帐户运行，但这些帐户与其他进程和应用程序共享，并且无法集中管理。尽管本地系统对 Windows 具有广泛的访问权限，但本地服务和网络服务是具有“作为服务登录”NT 权限的标准用户。网络服务还可以使用设备的计算机帐户连接到网络上的其他设备。

当域用户帐户用作服务帐户时，它们提供更高级别的隔离和管理，但需要手动或使用自定义解决方案管理密码，或者，通常情况下，密码很少（如果有的话）重置。

步骤1。组托管服务帐户

有两种特殊类型的帐户可用于服务：MSA 和 gMSA。如果您还记得 Windows Server 2008 R2，Microsoft 引入了 MSA，但它们附带了很多警告，导致潜在的用例受到限制。 MSA 的基本前提是提供域用户帐户的管理和隔离，但提供自动密码管理。 MSA 还提供简化的服务主体名称 (SPN) 管理。

Microsoft 通过 gMSA 改进了 Windows 2012 中的 MSA。与 MSA 不同，gMSA 可以在多个设备上使用、运行计划任务以及与 IIS 和 Exchange 等应用程序配合使用。 Windows Server 2012 域控制器上的密钥分发服务 (KDS) 管理分配给每个 gMSA 的 120 个字符的密码。在使用 gMSA 之前，您的域中必须至少有一个 Windows Server 2012（或更高版本的域）控制器，以及运行 Windows Server 2012 或 Windows 8（及更高版本）的加入域的设备。 PowerShell 用于配置 gMSA。

第2步。长密码

并非所有应用程序都与 gMSA 兼容，因此有时域用户帐户是最佳选择。 Microsoft 建议服务帐户的密码至少为 25 个字符，并且还应实施更改服务帐户密码的流程。此外，将服务帐户放置在 AD 中的专用组织单位 (OU) 中，以便可以与其他帐户分开管理，并确保对它们应用强密码策略。

步骤＃3。最小特权原则

如果服务帐户受到威胁，分配给该帐户的权限越少越好。尽管分配管理员权限以实现最大兼容性很容易，但很少需要这种影响深远的访问权限。找出服务帐户需要哪些权限，并仅分配这些权限以限制可能造成的损害程度。