Quali sono le pratiche migliori per gli account di servizio?

Stiamo eseguendo diversi servizi nella nostra azienda utilizzando un account di dominio condiviso. Purtroppo, le credenziali di questo account sono ampiamente distribuite e vengono utilizzate frequentemente per scopi di servizio e non di servizio. Ciò ha portto ad una situazione in cui è ansible che i servizi siano temporaneamente in discesa a causa di questo block di account condiviso.

Ovviamente, questa situazione deve cambiare. Il piano è quello di cambiare i servizi da eseguire sotto un nuovo account, ma non credo che questo sia abbastanza lontano, poiché tale account è sobject alla stessa politica di block.

  • Posso solo cancellare i contratti di locazione in DHCP per forzare una nuova locazione sul client?
  • Installazione di IIS in Windows 2003 senza Windows CD
  • come posso verificare se una port particolare è aperta su un server, in particolare 1443?
  • 6TO4 Windows 2003 DNS
  • Apertura di certmgr.msc per visualizzare i certificati di livello macchina
  • Come posso get un elenco di directory condivise sul server Windows locale?
  • Le mie domande sono queste: dovremmo impostare gli account dei servizi in modo diverso rispetto agli altri account di dominio e, se lo facciamo, come gestire tali account. Tieni presente che stiamo eseguendo un dominio 2003 e l'aggiornamento del controller di dominio non è una soluzione valida nel prossimo termine.

    One Solution collect form web for “Quali sono le pratiche migliori per gli account di servizio?”

    Alcuni pensieri:

    • Un conto per servizio, o forse per tipo di servizio a seconda dell'ambiente.

    • Gli account devono essere account di dominio.

    • Gli account devono avere una password forte che non scada *. Idealmente generare una password random che viene registrata da qualche parte (KeePass è buono per questo) per rendere un dolore per le persone per utilizzarlo per accedere. Parlando di quali …

    • … (In generale) l'account dovrebbe essere un membro di un gruppo che non dispone dei diritti di accesso in modo interattivo. Questo può essere controllato tramite Criteri di gruppo.

    • Tenga presente il principio del minimo privilegio. I conti dovrebbero avere i diritti necessari per fare il loro lavoro e non più . Inkeeping con questo, come sottolinea gravyface, utilizzare i conti incorporati ove ansible. Local Service quando non è necessario l'accesso alla networking. Network Service quando accede alla networking come account di macchina sarà abbastanza sicuro e evita di utilizzare l'account di Local System , ove ansible.

    * A less che la tua politica di sicurezza aziendale non sia compatibile con questo, ma dai suoni delle cose probabilmente è 🙂

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.