Akun layanan Windows Active Directory (AD) adalah target serangan dunia maya utama karena hak istimewa yang ditinggikan dan akses otomatis/berkelanjutan ke sistem penting. Oleh karena itu, administrator Windows harus menerapkan langkah -langkah keamanan yang kuat yang penting untuk melindungi lingkungan AD dari kompromi keamanan.
Artikel ini menguraikan lima praktik terbaik untuk membantu mengamankan akun layanan iklan Anda dan mengurangi risiko kompromi oleh aktor jahat.
Apa itu Akun Layanan?
Akun layanan iklan adalah akun khusus yang dirancang untuk menjalankan aplikasi dan layanan di Windows Server. Untuk mendukung fungsi khusus perangkat lunak, akun layanan memerlukan izin tinggi untuk mengelola pemasangan aplikasi dan layanan inti, dan sering diberikan akses luas ke infrastruktur sistem operasi untuk aplikasi dependen agar berfungsi dengan baik.
Tingkat akses yang luas ini membuat akun layanan terutama target menarik bagi aktor jahat yang ingin mendapatkan pijakan ke dalam sistem kritis.
Dengan mengkompromikan akun layanan, penyerang seringkali dapat memperoleh akses luas di seluruh jaringan dan visibilitas ke sistem istimewa lainnya.
Jenis Akun Layanan
Akun layanan datang dalam tiga jenis: akun pengguna lokal, akun pengguna domain, akun layanan terkelola (MSA), dan akun layanan yang dikelola grup (GMSA).
Akun pengguna lokal
Akun pengguna lokal dapat masuk ke sistem Windows dan mengakses sumber daya dan pengaturannya. Jenis akun pengguna lokal meliputi:
- Akun sistem -Memiliki izin administrasi lokal, multi-privilege
- Akun Layanan Lokal -Memiliki akses tanpa kredensial ke layanan jaringan
- Akun Layanan Jaringan – Memiliki akses yang lebih kuat dan kredensial ke layanan jaringan
Akun Pengguna Domain
Layanan yang berjalan di bawah Akun Pengguna Domain memiliki semua akses lokal dan jaringan yang diberikan ke akun (atau ke grup apa pun akunnya adalah anggota), dengan akses penuh ke fitur keamanan layanan Windows dan Layanan Domain Iklan Microsoft.
Akun layanan yang dikelola
Akun layanan yang dikelola (MSA) adalah akun yang terkait dengan sistem tertentu yang dapat Anda gunakan untuk menjalankan layanan, aplikasi, dan jadwal tugas dengan aman dalam domain iklan sistem. Karena mereka menggunakan kontrol izin ketat melalui AD seperti ACCESS ACCESS CONTROL (RBAC) dan otomatisasi pemeliharaan, MSA dianggap sebagai jenis akun layanan yang paling aman.
Akun Layanan Terkelola Grup
GMSA adalah akun domain yang menyediakan fungsionalitas yang sama dengan MSA, tetapi lebih dari beberapa server atau layanan.
GMSA memberikan lebih banyak fitur keamanan daripada akun layanan terkelola tradisional seperti manajemen kata sandi otomatis dan manajemen nama utama layanan utama (SPN), untuk memasukkan delegasi manajemen ke administrator lain.
Pentingnya Melindungi Akun Layanan
Administrator Windows harus memprioritaskan perlindungan akun layanan, karena penyerang cyber biasanya melihat ke akun layanan sebagai titik masuk potensial ke dalam sistem yang dilindungi.
Misalnya, Storm-0501 Penyerang ransomware mengeksploitasi akun yang terlalu istimewa saat pindah dari lingkungan organisasi ke lingkungan cloud.
Ini memungkinkan mereka untuk mendapatkan kontrol jaringan, membuat akses backdoor yang persisten ke lingkungan cloud, dan menggunakan ransomware ke sistem di tempat.
Lima Praktik Terbaik Untuk Mengamankan Akun Layanan Iklan
1. Ikuti prinsip hak istimewa paling tidak
Saat mengkonfigurasi akun layanan, Anda harus mengikuti prinsip hak istimewa paling tidak – yaitu, pengguna dan akun seharusnya hanya memiliki serangkaian hak istimewa minimum yang diperlukan untuk melakukan tugas mereka. Akun layanan iklan dirancang untuk melakukan tugas -tugas tertentu dan karenanya hanya memiliki izin yang diperlukan untuk menyelesaikan tugas -tugas tersebut.
Dengan memberikan hak istimewa yang berlebihan (misalnya, menjadikan akun layanan sebagai domain atau administrator perusahaan), Anda memperkenalkan risiko yang signifikan ke dalam lingkungan Windows Anda.
2. Gunakan otentikasi multi-faktor (MFA) sedapat mungkin
Menerapkan MFA Untuk semua akun pengguna secara signifikan meningkatkan keamanan lingkungan iklan Anda. Meskipun akun layanan biasanya tidak dimaksudkan untuk login interaktif yang mendukung MFA, penting untuk memasukkan MFA ke dalam proses login interaktif dari setiap akun layanan yang dilakukan.
3. Hapus akun layanan yang tidak digunakan
Akun layanan iklan harus menjadi bagian dari program manajemen siklus hidup aktif, dengan apapun akun layanan yang tidak digunakan atau tidak perlu Segera dinonaktifkan atau ditandai untuk perhatian. Tertarik untuk mengetahui berapa banyak akun layanan yang tidak digunakan yang Anda miliki di iklan Anda?
Pindai iklan Anda dengan alat audit kami yang gratis dan hanya baca dan dapatkan laporan yang dapat diekspor mengenai akun tidak aktif dan kerentanan terkait kata sandi lainnya. Unduh Auditor Kata Sandi Specops di sini.
4. Monitor Aktivitas Akun Layanan
Akun layanan iklan adalah target utama untuk penyerang dan harus dipantau secara ketat untuk aktivitas dan anomali yang mencurigakan (misalnya, Akses RDP yang tidak sah atau gunakan pada server atau workstation yang tidak pantas).
Untuk audit, administrator Windows harus menggunakan kombinasi alat iklan asli dan alat pihak ketiga untuk melacak peristiwa logon dan perubahan akun.
5. Menegakkan kebijakan kata sandi yang kuat di seluruh organisasi
Meskipun MSAS dan GMSA mengotomatiskan manajemen kata sandi, menerapkan kebijakan kata sandi yang kuat di semua akun, termasuk akun pengguna, meningkatkan keamanan keseluruhan layanan domain iklan Anda.
Alat pihak ketiga seperti Kebijakan Kata Sandi Specops Dapat membantu Anda mengukur dan menegakkan kebijakan ini di seluruh organisasi Anda, serta terus memindai iklan Anda untuk kata sandi yang dilanggar. Coba kebijakan kata sandi specops secara gratis.
Menjadikan Perlindungan Akun Layanan sebagai prioritas
Akun layanan AD sangat penting untuk menjalankan proses dan layanan otomatis tetapi dapat menimbulkan risiko keamanan yang signifikan karena peningkatan hak istimewa mereka. Jika dikompromikan, mereka dapat memungkinkan penyerang untuk meningkatkan kontrol, mengganggu operasi, mengakses data sensitif, dan bergerak secara lateral di dalam jaringan.
Dengan mengikuti lima praktik terbaik ini, Anda dapat mengurangi risiko ini dan lebih melindungi lingkungan TI Anda terhadap kompromi terkait akun layanan iklan.
Bertujuan untuk mengamankan Direktori Aktif Anda pada tahun 2025? Bicaralah dengan Pakar Specops.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
