了解service account misconfiguration及如何減輕此風險。
對服務帳戶管理不當可能會構成安全風險,因為它們可能為攻擊者提供進入系統和敏感資料的入口。為了減輕這種風險,關鍵在於將授予服務帳戶的權限限制在其指定任務所需的範圍內。如果服務帳戶需要提升的權限,例如全域管理員存取權,建議評估這種存取權的原因,並在可能的情況下盡量減少權限。
高權限許可範例:
Application.ReadWrite.AllDirectory.ReadWrite.AllFiles.ReadWrite.AllMailboxSettings.ReadWriteUser.ReadWrite.All
 |
注意服務帳號不應具有比管理它的使用者帳號更高的權限。如果服務帳號由一般帳號管理,則可能會發生這種情況。在 Active Directory 中,一般帳號是指不屬於 Administrators、Domain
Admins 或 Enterprise Admins 成員的帳號。
|
以下是一些最佳實踐:
-
服務帳戶擁有者的權限應等於或大於他們管理的服務帳戶。
-
僅使用服務帳戶運行所需的最低權限。欲了解詳細資訊,請參閱 Microsoft 關於最小特權原則的指導。
-
如果服務帳戶需要某些權限,請考慮提升常規帳戶的權限或指派其他擁有者。
|
注意「服務帳戶配置錯誤」風險無法添加到例外列表中。
|