Implicazioni potenziali per la sicurezza derivate dalla condivisione delle credenziali con servizi sfondo

Quando si condivide una credenziale con i servizi sfondo, questa diventa disponibile per l'uso con i componenti di servizio di Security Controls per tutti gli altri amministratori. Ad esempio, se l'Amministratore A crea una credenziale, la abilita per la condivisione con i servizi sfondo e la assegna al servizio proxy. Ora l'Amministratore B è libero di assegnare la stessa credenziale condivisa ad altre aree di servizio del programma.

Pertanto:

  • Abilitare la condivisione solo con i servizi sfondo sulle credenziali richieste dai componenti di servizio di Security Controls.
  • NON abilitare la condivisione con servizi sfondo su credenziali che consentono l'accesso ad aree protette della propria organizzazione.

Si raccomanda di creare un account di servizio per poter eseguire le funzioni dei servizi sfondo piuttosto che utilizzare un account di un amministratore di dominio.

Security Controls supporta l'autenticazione Kerberos per l'interazione dei servizi in background con varie risorse, oltre alle credenziali specificate esplicitamente. La concessione delle autorizzazioni all'account Domain\Machine$ può essere utilizzata per fornire accesso alle condivisioni di rete e ai server di distribuzione in scenari in cui non è auspicabile o possibile creare un account di servizio.

Inoltre, le credenziali del servizio condiviso possono essere aggiornate in qualsiasi momento. In questo modo la manutenzione dell'aggiornamento delle password risulta semplice.