当我与许多人谈论特权身份管理时,他们首先想到的是本地帐户。因此,我将解释特权身份管理的下一个级别。 它不仅涉及管理特权帐户,还涉及使用它们的位置。这意味着找到每个帐户,弄清楚它们的使用位置和使用方式,然后在各处更改其凭据。 一切都不会造成中断。
许多服务器使用本地帐户–如Linux上的root和Windows上的管理员 –运行持久性应用程序,无论是否有人登录到计算机。例如,网站将是持久性应用程序的示例。数据库或其他业务线应用程序也是如此。
服务帐户就在这里。这些持久性应用程序需要服务帐户,以便它们可以代表应用程序用户执行操作。实际上,这些帐户是对无法访问敏感数据和系统的用户执行有限操作的代理。
在许多情况下,服务帐户的机制意味着帐户不仅必须对应用程序而且与应用程序交互的所有对象都已知并且可验证。因此,服务帐户通常是功能强大的Windows域,Kerberos,LDAP或数据库访问凭据。
服务帐户凭据必须定期更改
基于服务帐户的应用程序必须保留执行其操作所需的凭据副本。这些凭证通常是加密的或模糊的。但是它们必须可以由应用程序或服务按需提供。
服务帐户结构的结果意味着,不仅要在身份验证系统(即Active Directory)中,而且必须在存储该相同证书密码的每个服务/应用程序中,都必须更改超级用户证书的任何密码。因此,不仅必须更新身份验证器,而且还必须更新所有引用。更新所有存储服务帐户的位置称为传播。
服务帐户如何导致IT问题
要成功更改帐户密码,您不仅必须更改其存储位置。您还必须在引用该帐户的每个位置进行更改。如果您错过任何一个已存储密码的场所,则将使用错误的密码,并且该服务将无法正常工作。在某些情况下,服务使用错误的密码可能导致操作系统认为该帐户受到攻击并锁定该帐户。最后一种情况意味着使用该锁定帐户的每个服务现在也将失败。
所以第一个挑战 服务账户管理 是发现和关联。这意味着要了解其系统中使用了哪些凭证以及在何处使用它们。第二个挑战是传播–了解如何更改对这些凭据的引用,而不会遗漏任何内容。
正确的服务帐户管理解决方案
Source://www.bomgar.com/blog