Comptes partagés, de service et techniques

Les comptes de service et les comptes d'utilisateur technique sont souvent un mal nécessaire, afin de permettre aux serveurs, aux applications et aux processus de fonctionner ensemble, sans l'intervention d'un utilisateur réel. Les comptes de service et les comptes techniques représentent un risque intrinsèque important pour vos systèmes.

Les comptes partagés sont des comptes qui sont utilisés par plusieurs personnes pour accéder à une ressource.

Appliquez au moins les mesures de sécurité ci-dessous aux comptes partagés, de service et techniques :

Maintenir un accès limité.

Assurez-vous de n'attribuer aux comptes de service que les privilèges minimums dont ils ont besoin pour les tâches qu'ils doivent effectuer, et ne leur donnez pas plus d'accès que nécessaire. Supprimez toutes les autorisations pour le partage de fichiers, l'accès à Internet, l'accès à distance, la connexion locale,... chaque fois que cela est possible.

Évitez toute adhésion de groupe pour les comptes de service, les comptes techniques et les comptes partagés

Mettre les comptes de service dans des groupes peut être risqué, car les comptes de service peuvent recevoir des droits et des autorisations par le biais de l'appartenance à un groupe. Évaluez soigneusement le besoin d'adhésion à un groupe et, le cas échéant, limitez-le au strict minimum.

Définir des permissions de refus explicites pour les données sensibles

Assurez-vous que vos comptes de service n'ont pas accès aux données critiques ou sensibles en définissant des refus explicites pour ces comptes. La définition de refus explicites garantit la confidentialité de ces données, même si l'accès est autorisé par les membres du groupe ou par des autorisations internes.

Ne pas recycler/réutiliser les comptes de service

Ne créez pas de comptes de service en copiant un compte existant et ne partagez jamais le compte de service entre plusieurs services. Chaque compte de service, et ses autorisations, doivent être soigneusement analysés pour chaque utilisation et être toujours uniques au service.

Désactivez la connexion locale, ou isolez-la sur des systèmes spécifiques

La plupart du temps les comptes partagés, de service ou techniques n'ont pas besoin de se connecter aux systèmes. Dans la mesure du possible, refusez les droits locaux de connexion. Si la connexion à des périphériques spécifiques est nécessaire, limitez les droits de connexion à ces systèmes spécifiques.

Activer l'audit

Assurez-vous d'activer l'audit de tous les comptes de service et techniques. Une fois que l'audit est activé, vérifiez régulièrement les journaux pour voir qui utilise les comptes, quand et dans quel but.

TASK

Segregate the accounts for administrative and user tasks, avoid generic/shared accounts

TASK

Change any default or guessable account passwords, especially for the administrative account