Best Practices für die sichere Verwaltung von Servicekonten

Servicekonten dienen zum Ausführen von Anwendungen und automatisierten Diensten, VM-Instanzen oder anderen Prozessen. Service Accounts können privilegierte lokale Konten oder Domänenkonten sein, die in einigen Fällen sogar über Administratorrechte verfügen. Sie führen automatisierte Geschäftsprozesse aus und werden von Anwendungen und nicht von Personen verwendet. Servicekonten können in Diensten, Aufgaben, COM-Objekten, Internet-Informationsdiensten (IIS), Datenbanken, SharePoint- und anderen Anwendungen gespeichert sein.

Viele Server verwenden lokale Konten (wie root unter Linux und administrator unter Windows), um persistente Anwendungen auszuführen — unabhängig davon, ob sich jemand am Computer anmeldet oder nicht. Eine Website wäre ein Beispiel für eine persistente Anwendung, ebenso wie eine Datenbank oder eine andere Branchenanwendung. Für diese langlaufenden Anwendungen werden Servicekonten benötigt, damit sie Aktionen im Namen der Benutzer ausführen können. Anders gesagt: Dienstkonten sind Proxydienste zum Ausführen eingeschränkter Aktionen für Benutzer, die keinen Zugriff auf vertrauliche Daten und Systeme haben.

Im Allgemeinen werden Service Accounts vom Paketmanager während der Installation der Dienstsoftware erstellt und konfiguriert. Selbst als Administrator sind Mitarbeiter also nicht direkt für die Erstellung von Dienstkonten verantwortlich (und sollten dies auch nicht sein).

Best Practices für die sichere und effektive Verwaltung von Dienstkonten

Servicekonten sollten sorgfältig verwaltet, kontrolliert und geprüft werden. In den meisten Fällen können sie auch einer digitalen Identität als Besitzer zugeordnet werden, sollten jedoch nicht die gleichen Merkmale aufweisen wie eine Person, die sich bei einem System anmeldet. Service Accounts sollten weder über die Privilegien der interaktiven Benutzeroberfläche noch über Möglichkeiten verfügen, als normale Konten oder Benutzer zu fungieren. Je nach Betriebssystem oder Infrastruktur könnte das die Einschränkung der unterschiedlichsten Aktionen erfordern — von der Ausführung eines Batch-Prozesses bis zum Shell-Zugriff auf ein Konto. Servicekonten sollten auch nicht an ein Just-In-Time-Zugriffsverfahren delegiert werden.

Der effektivste und sicherste Weg zur Bewältigung dieser Herausforderungen beim Service Account Management besteht in der Identifizierung und zentralen Verwaltung aller Konten. Darüber hinaus muss ein kontinuierlicher Prozess sichergestellt werden, der ein automatisiertes Onboarding und Management neuer Konten erlaubt. Best Practices für das Sichern und Verwalten von Dienstkonten unterteilen sich dabei in zwei Implementierungsphasen.

Phase I: Identifizierung und zentrale Verwaltung aller Konten

1. Automatisierte Erkennung und Integration aller Servicekonten

Wenn nicht bekannt ist, wo sich alle privilegierten Dienstkonten befinden, lässt sich deren Nutzung auch nicht vollständig kontrollieren und überwachen. Oberste Priorität hat deshalb die kontinuierliche Identifizierung und Katalogisierung aller Arten von Konten, um sie zentral verwalten und kontrollieren zu können.

BeyondTrust Password Safe durchleuchtet Ihre gesamte IT-Umgebung und erfasst alle Service Accounts. Nach Zuordnung und Klassifizierung bringt Password Safe automatisch die identifizierten Konten unter zentrale Verwaltung. Zusätzlich hilft eine sofort einsatzfähige Standardkonfiguration Unternehmen dabei, das Onboarding von Konten und Maßnahmen zur Risikominimierung schnellstmöglich umzusetzen.

BeyondTrust Discovery Report: Ergebnis der Service-Account-Analyse – Gesamtzahl der erfassten Dienstkonten

BeyondTrust Discovery Report: Zusammenfassung gescannter Servicekonten

Phase II: Automatisiertes Onboarding und IT-Verwaltung neuer Servicekonten

2. Automatisiertes Onboarding von neuen Dienstkonten

Angesichts der Dynamik von IT-Umgebungen reduzieren Auto-Discovery-Funktionen den Zeit- und Arbeitsaufwand deutlich, indem jedes Konto erfasst und verwaltet wird. Eine automatische Profilerstellung und Klassifizierung von Konten stellt außerdem sicher, dass neue Servicekonten direkt kontrolliert und Risiken durch komplexe, manuelle Administrationsarbeiten vermieden werden. Im Ergebnis erhalten Anwender einen vollständigen Überblick über alle Berechtigungen einer IT-Umgebung.

BeyondTrust Password Safe erkennt und verwaltet neue Konten kontinuierlich über Smart Rules. Die Lösung unterstützt Unternehmen bei der Kontrolle von Servicekonten über zentrales IT-Management und einen vollständigen Audit-Trail.

3. Absicherung und Überwachung der Zugriffe auf Dienstkonten

Privilegierte Anmeldeinformationen (Kennwörter, SSH-Schlüssel usw.), die mit Servicekonten verknüpft sind, müssen zentral in einem verschlüsselten Datentresor verwahrt werden. Zur Risikominimierung sollte der Zugriff auf diese Anmeldedaten kontrolliert und überwacht werden.

Password Safe automatisiert die Verwaltung privilegierter Zugangsdaten und Sitzungen und sorgt für eine sichere Zugriffskontrolle, Auditierung, Alarmierung und Aufzeichnung aller privilegierten Konten, einschließlich Service Accounts.

4. Effektive Weitergabe von Anmeldeinformationen

Ändern sich die Anmeldedaten für Servicekonten, trägt die automatische Weitergabe von Anmeldeinformationen an alle verknüpften Stellen entscheidend zur Vermeidung von Systemausfällen und Ausfallzeiten bei.

Eine vollständige Verwaltung solcher Anmeldedaten setzt umfassende Kenntnisse über alle gültigen Kontokennungen voraus, bevor Änderungen vorgenommen werden können. Dieser Vorgang wird als „Account Enumeration“ (Kontoaufzählung) bezeichnet. Bei jeder Berechtigungsänderung erkennt Password Safe dynamisch die Service Account Enumeration, bevor Kennwörter des Servicekontos geändert werden. Die Passwortlösung kann diese Anmeldeinformationen direkt weitergeben, um Ausfallzeiten der Anwendungen aufgrund von nicht synchronisierten Anmeldedaten zu vermeiden.

Lösungen für sicheres Service Account Management

Servicekonten sorgen für einen reibungslosen Betrieb der IT-Systeme. Eine manuelle Verwaltung dieser kritischen Konten ist aber nicht skalierbar, so dass die Sicherheits- und Audit-Anforderungen moderner Unternehmen auf diese Weise nicht erfüllt werden können.

Für diesen Zweck stehen Unternehmen allerdings passende Lösungen zur Verfügung, die eine Erkennung und Verwaltung von Dienstkonten automatisieren sowie Zugriffe auf Service Accounts schützen, kontrollieren und überwachen können. Diese Automatisierung ist unerlässlich, um Risiken durch großflächig verteilte Servicekonten zu mindern und Ihr Unternehmen vor Gefahren durch kompromittierte, privilegierte Anmeldeinformationen zu bewahren.

BeyondTrust Password Safe kombiniert Passwort- und Session-Management für eine nahtlose Nachverfolgung und Kontrolle privilegierter Accounts. Mit BeyondTrust überwachen und verwalten Sie privilegierte Benutzerkonten, Dienstkonten oder Anwendungen zur Compliance-Einhaltung und forensischen Analyse.

Erfassen Sie alle privilegierten Konten und Zugangsdaten in Ihrer IT-Umgebung: Mit dem kostenlosen Discovery-Tool von BeyondTrust identifizieren Sie Fehlkonfigurationen von Konten, zu weit gefasste Nutzerrechte, ungenutzte Accounts, veraltete Passwörter und vieles mehr. Sie können eine unbegrenzte Anzahl von Scans durchführen und erhalten detaillierte Scanergebnisse und einen zusammenfassenden Bericht über alle Ergebnisse — kostenlos und vertraulich.

Erfahren Sie mehr über Password Safe — oder kontaktieren Sie uns.