サービスアカウントの誤設定と、それらのアカウントがもたらすリスクを軽減する方法について学びましょう。
サービスアカウントの管理が不十分だと、攻撃者にシステムや機密データへの侵入経路を提供することになります。リスクを軽減するために、サービスアカウントの権限を指定されたタスクに必要な権限のみに制限してください。サービスアカウントがグローバル管理者アクセスなどの高い権限を必要とする場合、そのレベルのアクセスが必要な理由を評価し、可能な限り権限を最小限に抑えてください。
高権限権限の例:
Application.ReadWrite.AllDirectory.ReadWrite.AllFiles.ReadWrite.AllMailboxSettings.ReadWriteUser.ReadWrite.All
 |
注意サービスアカウントは、管理する通常のユーザアカウントよりも高い権限を持つべきではありません。これは、サービスアカウントが通常のアカウントによって管理されている場合に発生する可能性があります。Active
Directoryでは、通常のアカウントはAdministrators、Domain Admins、またはEnterprise Adminsのメンバーではありません。
|
ベストプラクティスは次のとおりです。
-
サービスアカウント所有者の権限は、サービスアカウントと同等以上である必要があります。
-
サービス アカウントが機能するために必要な最小限の権限のみを使用してください。詳細については、最小特権の原則に関するMicrosoftのガイダンスを参照してください。
-
サービスアカウントに特定の権限が必要な場合は、通常のアカウントの権限を昇格させるか、別の所有者を割り当てることを検討してください。
|
注意「サービスアカウントの設定ミス」リスクは除外リストに追加できません。
|