Frage Wie verwalten Sie Anmeldeinformationen für Dienstkonten (Kennwörter)? [geschlossen]


Wie behandeln Sie in einer Windows-Umgebung die folgenden Probleme mit Dienstkonten?

  1. Reguläre Passwortänderungen - Wie können Sie regelmäßig Passwörter ohne größere Ausfallzeiten ändern, wenn Sie einzelne Serviceaccounts auf mehreren Computern verwenden? Neigen Sie dazu, sie nie zu ändern?
  2. Verfolgen von Passwörtern - notwendigerweise müssen mehrere Personen diese wissen, wie zeichnet man die Passwörter auf, während man sie einigermaßen geheim hält?
  3. Zu welchem ​​Zeitpunkt verwenden Sie dasselbe Konto für mehrere Computer / Dienste? Wie verfolgen Sie, welches Konto wo verwendet wird? Irgendwelche Werkzeuge, um damit zu helfen?
  4. Hat jemand gute Ressourcen für geeignete Mindestberechtigungseinstellungen für allgemeine Dienstkontoanforderungen für Anwendungen wie SQL Server, Sharepoint usw. gefunden?

9
2018-06-22 10:57


Ursprung


Ich denke, Punkt 4 ist etwas abseits. Mein Hauptanliegen ist Punkt 1. Ich kann nicht sehen, wie Sie die Kennwörter ändern können, ohne einen Ausfall zu haben. - Joel Mansford
Auch wenn Punkt 4 nicht im Thema ist, würde ich trotzdem gerne diesem Thread folgen. Ich habe diese Frage bei der Suche nach Möglichkeiten zur Verhinderung interaktiver Logins mit einem Dienstkonto gefunden. Ich dachte, es gäbe eine GPO-Einstellung, aber ich habe sie noch nicht gefunden. - Nathan Hartley


Antworten:


Viele unserer Kunden verwenden Secret Server, um ihre Dienstkonten zu verwalten.

Es kann automatisch erkennen, wo Ihre Dienstkonten verwendet werden (wird Ihr Netzwerk auf Nutzungen untersuchen), und dann können diese Windows-Dienste als "Abhängigkeit" für die Berechtigung hinzugefügt werden. Es kann ein Ablaufplan festgelegt werden (etwa alle 30 Tage). Anschließend wird automatisch ein neues zufälliges Kennwort für das AD-Dienstkonto erstellt und alle verwendeten Speicherorte geändert (sogar das Anhalten und Neustarten der Windows-Dienste). Secret Server unterstützt außerdem IIS-Anwendungspoolbenutzer und Windows-geplante Aufgaben als "Abhängigkeiten".

Erhalten Sie eine kostenlose 30-Tage-Testversion hier: http://www.thycotic.com


3
2017-10-14 22:02





Ich bin auf Server 2008 R2 umgestiegen ^^ (ok, vielleicht nicht - aber ich dachte, ich sollte das erwähnen Managed Service Account und virtuelles Konto Merkmale davon, die dieses Chaos zu lösen verspricht)


4
2018-06-28 09:49



Danke dafür, das habe ich in der Feature-Liste von R2 nicht bemerkt. Ich bin ein großer Server 2008 (R1) Fan. Ich war ein wenig enttäuscht über die Stabilität und Leistung der Beta 2008 R2 im Vergleich zu Win7 RC - hoffen wir, dass es gut ist, wenn sie veröffentlicht wird - Joel Mansford


Joel,

Wir verwenden eine Anwendung von Drittanbietern, um die Rotation von Kennwörtern für Dienstkonten zu verwalten. Die App verfolgt die Passwörter, erstellt neue Passwörter und bietet einen Tresor, damit Sie bei Bedarf auf die Passwörter zugreifen können.

Wir versuchen, Dienstkonten nach Möglichkeit wiederzuverwenden, und als Teil des Kontoerstellungsprozesses haben wir ein Formular, das die Leute ausfüllen müssen. Wenn das Formular gesendet wird, wird es gespeichert und das Konto, das erstellt wurde, wird mit dem Formular gespeichert. Wenn wir also wissen wollen, wer den Account nutzt oder warum er erstellt wurde, können wir recherchieren. Wir stellen auch sicher, dass das Manager-Feld in AD korrekt ausgefüllt ist und die Manager wissen, für welche Service-Accounts sie verantwortlich sind.

MSDN verfügt über eine Fülle von Informationen zu den Mindestberechtigungen, die für allgemeine Dienstkontoeinstellungen erforderlich sind. Wie Sie diese Einstellungen konfigurieren, hängt wie immer von den Anforderungen Ihrer Umgebung ab.


2
2018-06-22 12:40



Irgendeine Idee, welches Drittanbieter-Tool Sie dafür verwenden? - Joel Mansford
sicher, cyber-ark.com - SQLRockstar


Ich würde passgen.exe empfehlen Informationen hier herunterladen Gehe einfach durch das Begleitdokument. Es gibt ein präzises Szenario für das Ändern des Passworts auf mehreren Computern und wie einfach es ist, sie einzigartig und komplex zu halten.


0
2018-06-28 04:55