Limitiamo i “service accounts”
I service account offrono privilegi che consentono loro di eseguire azioni nei computer in cui sono configurati nonché di comunicare con altri computer della rete. Sono un obiettivo interessante per gli hackers proprio per questi privilegi e per il fatto che le password spesso non vengono cambiate. Una volta ottenute le credenziali ed avuto accesso con questi account è praticamente impossibile tracciare e monitorare quello che avviene. Tuttavia, se si limita l’accesso dell’account compromesso, l’hacker avrà accesso ad un numero limitato di computer se non uno soltanto. Per limitare il numero dei PC ai quali si può accedere tramite un service account è necessario sapere prima di tutto su quali computer questo è configurato. Per i servizi Windows è possibile utilizzare il nostro tool gratuito per la gestione dei Service Account: vi permetterà di effettuare una scansione completa di tutte le vostre macchine Windows e identificare i service accounts configurati. Una volta che è stato configurato un elenco di computer su ciascun service account, è possibile limitare questo account solo per accedere a tali computer. Per fare questo è sufficiente andare nelle proprietà di ogni account utente sotto Active Directory Users and Computers e configurare l’opzione Accedi nella scheda account.
Le figure 1 e 2 mostrano come dovrebbe apparire la configurazione
Tab Account per l’account utente
Computer che possono accedere all’account utente.
Dopo aver configurato le impostazioni dell’account, l’account utente (un service account in questo caso) è limitato ai soli computers elencati. Anche se l’hacker dovesse accedere a questo computer il danno sarebbe limitato: potrebbe accedere solo alle macchine elencate in questo account.
Se ti interessa avere maggiori informazioni sulla soluzione per la gestione dei service accounts consulta direttamente il nostro sito web http://www.manageengine.it/ad-manager/index.html oppure contatta i nostri specialisti di prodotto allo 0643230077 o invia una e-mail a sales@bludis.it