了解服務帳戶的錯誤配置及如何減輕這些帳戶所帶來的風險。
服務帳戶管理不當可能為攻擊者提供進入系統和敏感資料的途徑。為了降低風險,應將服務帳戶的權限限制為僅執行指定任務所需的權限。如果服務帳戶需要提升的權限,例如全域管理員訪問權限,請評估此級別訪問的原因,並在可能的情況下最小化權限。
高權限許可範例:
Application.ReadWrite.AllDirectory.ReadWrite.AllFiles.ReadWrite.AllMailboxSettings.ReadWriteUser.ReadWrite.All
 |
注意服務帳號不應具有比管理的常規使用者帳號更高的權限。如果服務帳號由常規帳號管理,則可能會發生這種情況。在 Active Directory 中,常規帳號不是 Administrators、Domain
Admins 或 Enterprise Admins 的成員。
|
以下是一些最佳實踐:
-
服務帳戶擁有者的權限應等於或大於服務帳戶的權限。
-
僅使用服務帳戶運行所需的最低權限。欲了解詳細資訊,請參閱 Microsoft 關於最小特權原則的指導。
-
如果服務帳戶需要某些權限,請考慮提升常規帳戶的權限或指派其他擁有者。
|
注意「服務帳戶配置錯誤」風險無法添加到例外列表中。
|