Отдельная головная боль любой инфраструктуры — сервисные учётные записи.
Часто создаётся обычная доменная учётка, ей назначается пароль без срока действия, а затем под ней запускают несколько служб, заданий и приложений. Через несколько лет уже никто точно не знает, где она используется, кто знает её пароль и что перестанет работать после его замены.
У каждого самостоятельного сервиса должна быть собственная учётная запись. Это позволяет выдать только необходимые права, нормально контролировать её действия и ограничить последствия компрометации.
Но это не означает, что для каждой службы нужно вручную менять пароль.
Если сервису нужен доступ к ресурсам домена, в Windows-инфраструктуре лучше использовать gMSA. Это управляемая доменная сервисная учётная запись, пароль которой автоматически создаёт и меняет Active Directory. Администратору не нужно знать, хранить и вручную обновлять этот пароль.
Если сервис работает только локально, ему зачастую вообще не нужна обычная доменная учётка. Можно использовать виртуальную учётную запись Windows с минимальными правами.
Обычная учётная запись с вечным паролем должна оставаться только исключением для старого программного обеспечения, которое не поддерживает управляемые сервисные учётки. И даже в этом случае пароль должен быть уникальным, храниться в защищённом хранилище, а сама учётка не должна иметь возможности интерактивного входа и административных прав.
Проблема не в том, доменная учётная запись или локальная. Проблема начинается тогда, когда один постоянный пароль открывает доступ сразу к нескольким критичным системам, а его владельца и назначение уже никто не помнит.

Добавить комментарий