Erfahren Sie mehr über Fehlkonfigurationen von Dienstkonten und wie Sie das Risiko, das diese Konten darstellen, mindern können.
Unzureichende Verwaltung von Dienstkonten kann Angreifern einen Einstiegspunkt in
Systeme und sensible Daten bieten. Um das Risiko zu mindern, beschränken Sie die Berechtigungen
von Dienstkonten auf nur die für die vorgesehenen Aufgaben notwendigen Berechtigungen.
Wenn ein Dienstkonto erhöhte Berechtigungen benötigt, wie z. B. den Zugriff als Globaler
Administrator, bewerten Sie die Gründe für dieses Zugriffslevel und minimieren Sie
die Berechtigungen, wo immer möglich.
Beispiele für Berechtigungen mit hohen Privilegien:
Application.ReadWrite.AllDirectory.ReadWrite.AllFiles.ReadWrite.AllMailboxSettings.ReadWriteUser.ReadWrite.All
 |
HinweisEin Dienstkonto sollte nicht über höhere Berechtigungen verfügen als das verwaltende
reguläre Benutzerkonto. Dies kann auftreten, wenn das Dienstkonto von einem regulären
Konto verwaltet wird. In Active Directory ist ein reguläres Konto kein Mitglied von
Administratoren, Domänen-Admins oder Unternehmens-Admins.
|
Hier sind einige bewährte Praktiken, die Sie befolgen sollten:
-
Die Berechtigungen des Besitzers des Dienstkontos sollten gleich oder höher als die des Dienstkontos sein.
-
Verwenden Sie nur die minimal erforderlichen Berechtigungen, damit das Dienstkonto funktioniert. Weitere Informationen finden Sie in den Microsoft-Richtlinien zum Prinzip der minimalen Rechte.
-
Wenn das Dienstkonto bestimmte Berechtigungen benötigt, sollten Sie in Erwägung ziehen, die Berechtigungen des regulären Kontos zu erhöhen oder einen anderen Besitzer zuzuweisen.
|
Hinweis"Fehlkonfiguration des Dienstkontos" Risiken können nicht zur Ausnahmeliste hinzugefügt
werden.
|