Gedeelde, service- en technische accounts

Serviceaccounts en technische gebruikersaccounts zijn vaak noodzakelijk  om servers, applicaties en processen te laten samenwerken, zonder tussenkomst van een echte gebruiker. Service- en technische accounts vormen inherent een aanzienlijk risico voor uw systemen.

Gedeelde accounts zijn accounts die door meerdere mensen worden gebruikt om toegang te krijgen tot een bron. 

Pas ten minste de onderstaande beveiligingsmaatregelen toe op gedeelde, service- en technische accounts:

Houd de toegang beperkt.

Zorg ervoor dat u alleen serviceaccounts de minimale rechten toewijst die ze nodig hebben voor de taken die ze moeten uitvoeren en geef ze niet meer toegang dan nodig is. Verwijder alle machtigingen voor het delen van bestanden, internettoegang, externe toegang, lokale login, ... waar mogelijk

Vermijd groepslidmaatschappen voor serviceaccounts, technische en gedeelde accounts

Serviceaccounts in groepen plaatsen kan riskant zijn, omdat serviceaccounts rechten en machtigingen kunnen ontvangen via het groepslidmaatschap. Evalueer zorgvuldig de behoefte aan groepslidmaatschappen en beperk deze indien nodig tot het strikte minimum

Stel expliciete 'deny'  in voor gevoelige gegevens

Zorg ervoor dat uw serviceaccounts geen toegang hebben tot kritieke of gevoelige gegevens door expliciete weigeringen in te stellen voor deze accounts. Het instellen van expliciete weigeringen zorgt voor de vertrouwelijkheid van deze gegevens, zelfs als groepslidmaatschap of overgenomen rechten toegang verlenen.

Hergebruik serviceaccounts niet 

Maak geen serviceaccounts aan door een bestaand account te kopiëren en deel het serviceaccount nooit met meerdere services. Elk serviceaccount en de bijbehorende machtigingen moeten voor elk gebruik zorgvuldig worden geanalyseerd en altijd uniek zijn voor de service.

Schakel Lokaal inloggen uit of isoleer het op specifieke systemen

Vaker niet dan wel, hoeven Shared-, Service- of Technical-accounts  in te loggen op systemen ... Weiger de lokale aanmeldingsrechten waar mogelijk. Als aanmelding bij specifieke apparaten nodig is, beperkt u de aanmeldingsrechten tot die specifieke systemen.

Audit inschakelen

Zorg ervoor dat u controle voor alle service- en technische accounts inschakelt. Nadat de controle is ingeschakeld, controleert u regelmatig de logboeken om te zien wie de accounts gebruikt, wanneer en voor welke doeleinden.

TASK

Segregate the accounts for administrative and user tasks, avoid generic/shared accounts

TASK

Change any default or guessable account passwords, especially for the administrative account