Mögliche Sicherheitsauswirkungen bei der Freigabe von Anmeldeinformationen
|
Security ControlsWenn Sie Anmeldeinformationen freigeben, können diese Anmeldeinformationen von allen anderen Administratoren für Dienstkomponenten verwendet werden. Angenommen, Administrator A erstellt Anmeldeinformationen, aktiviert sie für die Freigabe gegenüber Hintergrunddiensten und weist sie anschließend dem Proxydienst zu. Administrator B steht es nun frei, dieselben Anmeldeinformationen anderen Dienstbereichen des Programms zuzuweisen.
Daher:
- Aktivieren Sie die Freigabe für Hintergunddienste nur für Anmeldeinformationen, die von den Security Controls-Dienstkomponenten benötigt werden.
- Geben Sie KEINE Anmeldeinformationen frei, die Zugriff auf geschützte Bereiche Ihres Unternehmens gewähren.
Es wird empfohlen, ein Dienstkonto für die Durchführung dieser Dienstfunktionen einzurichten, anstatt ein Domänenadministratorkonto hierfür zu verwenden.
|
Security Controls unterstützt die Kerberos-Authentifizierung für die Interaktion des Hintergrunddienstes mit verschiedenen Ressourcen, zusätzlich zu explizit angegebenen Anmeldeinformationen. Durch Gewähren von Berechtigungen zugunsten des Kontos Domain\Machine$ lässt sich der Zugriff auf Netzwerkfreigaben und Verteilungsserver bereitstellen, falls die Erstellung eines Dienstkontos nicht wünschenswert oder nicht möglich ist.
Gemeinsam genutzte Dienst-Anmeldeinformationen können außerdem jederzeit aktualisiert werden. Dadurch ist die Wartung der Kennwortaktualisierung ganz einfach.