Negare l’accesso interattivo per un account di servizio è una best practice del settore, riconosciuta, che prevede di aumentare la sicurezza all’interno di un ambiente di rete/Server.
I revisori della sicurezza (che esplorano il tuo ambiente alla ricerca di falle di sicurezza) identificheranno sicuramente la capacità degli account di servizio di accedere in modo “interattivo” alle macchine in LAN come una violazione della sicurezza. Ci sono diversi motivi per cui è potenzialmente “dannosa” la possibilità che account di servizio vengano utilizzati per accedere in modo interattivo : le credenziali dell’account di servizio sono (o sono state) probabilmente rese disponibili a un numero di persone diverse e ….. avere persone diverse che accedono ai dispositivi, eseguono configurazioni e manipolazione dei dati con un accesso condiviso vanifica i vantaggi di tracciabilità e responsabilità in termini di sicurezza delle informazioni.
A meno che non si disponga di una soluzione di gestione delle password automatizzata, la reimpostazione delle password per gli account di servizio può essere un’attività “pericolosa” con la possibilità di causare interruzioni del servizio. Negando gli accessi interattivi agli account di servizio, è possibile configurarli con password che non scadono, pur garantendo un livello di sicurezza accettabile.
L’obiettivo di questo articolo è garantire la capacità di limitare gli accessi interattivi per gli account di servizio. Può essere implementato tramite Criteri di gruppo AD.
La policy da attivare è la seguente:
Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment
Deny log on locally: {service accounts’ security group}
Deny log on through Terminal Services: {service accounts’ security group}
Creare un gruppo di sicurezza come e aggiungere gli utenti (degli account di servizio) come membri.
Impostare le policy di Dominio come indicato in precedenza:
Il criterio verrà applicato al riavvio dei Pc/Server.
A scopo di test, eseguire “gpupdate / force” in una delle macchine interessate. Tentare poi di accedere alla macchina su cui abbiamo aggiornato il criterio di gruppo per l’utilizzo di uno degli account di servizio. Dovremmo ricevere la seguente risposta:
Se uno o più account di servizio devono accedere a una singola macchina
Creare un’unità organizzativa per ospitare le macchine a cui non si applica questo criterio e assicurarsi che l’oggetto Criteri di gruppo non sia collegato o ereditato da questa unità organizzativa.
Negare Interactive Logon per gli Account di Servizio, Deny Interactive Logon for Service Accounts, Disable Logon Locally and Interactively for A User, Disable Logon Service Account, Deny Interactive Logon for Windows Service Accounts, Deny Interactive Logon, Deny Interactive Logon Service User
