Вечные пароли сервисных учётных записей

Отдельная головная боль любой инфраструктуры — сервисные учётные записи.

Часто создаётся обычная доменная учётка, ей назначается пароль без срока действия, а затем под ней запускают несколько служб, заданий и приложений. Через несколько лет уже никто точно не знает, где она используется, кто знает её пароль и что перестанет работать после его замены.

У каждого самостоятельного сервиса должна быть собственная учётная запись. Это позволяет выдать только необходимые права, нормально контролировать её действия и ограничить последствия компрометации.

Но это не означает, что для каждой службы нужно вручную менять пароль.

Если сервису нужен доступ к ресурсам домена, в Windows-инфраструктуре лучше использовать gMSA. Это управляемая доменная сервисная учётная запись, пароль которой автоматически создаёт и меняет Active Directory. Администратору не нужно знать, хранить и вручную обновлять этот пароль.

Если сервис работает только локально, ему зачастую вообще не нужна обычная доменная учётка. Можно использовать виртуальную учётную запись Windows с минимальными правами.

Обычная учётная запись с вечным паролем должна оставаться только исключением для старого программного обеспечения, которое не поддерживает управляемые сервисные учётки. И даже в этом случае пароль должен быть уникальным, храниться в защищённом хранилище, а сама учётка не должна иметь возможности интерактивного входа и административных прав.

Проблема не в том, доменная учётная запись или локальная. Проблема начинается тогда, когда один постоянный пароль открывает доступ сразу к нескольким критичным системам, а его владельца и назначение уже никто не помнит.

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.