Jakie są najlepsze praktyki dotyczące kont usługowych?

W naszej firmie prowadzimy kilka usług za pomocą wspólnego konta domeny. Niestety dane uwierzytelniające dla tego konta są szeroko rozpowszechnione i często wykorzystywane zarówno do celów usługowych, jak i pozazsługowych. Doprowadziło to do sytuacji, w której możliwe jest tymczasowe wyłączenie usług z powodu zablokowania tego wspólnego konta.

Oczywiście ta sytuacja musi się zmienić. W planie jest zmiana usług, aby działały na nowym koncie, ale nie sądzę, żeby to poszło wystarczająco daleko, ponieważ konto to podlega tym samym zasadom blokowania.

Moje pytania są następujące: czy powinniśmy konfigurować konta usług inaczej niż inne konta domeny, a jeśli tak, to w jaki sposób zarządzamy tymi kontami. Należy pamiętać, że prowadzimy domenę z 2003 roku, a aktualizacja kontrolera domeny nie jest realnym rozwiązaniem w najbliższym czasie.

Kilka myśli:

• Jedno konto na usługę, a może na typ usługi, w zależności od środowiska.

• Konta powinny być kontami domenowymi.

• Konta powinny mieć silne hasło, które nie wygasa *. Idealnie wygeneruj losowe hasło, które zostanie gdzieś zapisane (KeePass jest do tego dobry), aby ludzie mogli z niego korzystać podczas logowania. A propos...

• ... (Ogólnie) konto powinno należeć do grupy, która nie ma uprawnień do logowania interaktywnego. Można to kontrolować za pomocą zasad grupy.

• Pamiętaj o zasadzie najmniejszych przywilejów. Konta powinny mieć prawa, których potrzebują do wykonywania swojej pracy i nie więcej . Postępując z tym, jak zauważa gravyface, w miarę możliwości korzystaj z wbudowanych kont. Local Servicegdy dostęp do sieci nie jest wymagany. Network Servicepodczas uzyskiwania dostępu do sieci, ponieważ konto komputera będzie wystarczająco bezpieczne i unikaj korzystania z Local Systemkonta tam, gdzie to możliwe.

* Chyba że polityka bezpieczeństwa Twojej firmy nie jest z tym zgodna, ale na podstawie dźwięków prawdopodobnie tak jest :-)