Ratgeber Sicherheit
Windows 7 wirklich sicher nutzen
Die richtige Kontenverwaltung
Verwaltung von Service-Konten
Service-Konten sind häufig äußerst privilegiert, aber schwer zu verwalten. Grundsätzlich gilt: Ändern Sie häufig die Passwörter der Service-Konten, um somit das Risiko von Passwortangriffen zu verringern. Windows-Service-Konten erfordern oft zwei oder mehr abgestimmte Passwort-Änderungen, um ohne Unterbrechung zu funktionieren.
Vor Windows 7 und Windows Server 2008 R2 galten Service-Konten alles andere als einfach zu verwalten. Aktivieren Sie ein Service-Konto als verwaltetes Service-Konto, übernimmt Windows die Verwaltung und vereinfacht somit die Einstellung von Kerberos SPN (Service Principle Names). Empfehlung: Genau wie DirectAccess setzen verwaltete Service-Konten jede Menge voraus, darunter PowerShell 2. Die Funktion hilft Ihnen allemal bei der Verwaltung, sobald die Infrastruktur steht.
Virtuelle Service-Konten
Virtuelle Service Konten (VSA, englisch für Virtual Service Accounts) sind mit den verwalteten Service-Konten verbunden. VSA sind jedoch für lokale Service-Konten ausgelegt und benötigen somit kein Schema-Update. Folglich lassen sie sich ohne einen vergleichbaren Aufwand konfigurieren und anwenden.
Sobald ein VSA einen Dienst kontrolliert, greift der Dienst mit der Identität des Computers auf das Netzwerk zu. Die Identität ähnelt dem eingebauten LocalSystem sowie den Netzwerk-Service Konten. Die VSAs wiederum erlauben jedem Dienst eine getrennte Sicherheits-Domäne zu besitzen. Praktisch: Die Erstellung eines virtuellen Service-Kontos ist ziemlich leicht. Öffnen Sie die Service-Konsole (service.msc) und verändern Sie den Anmeldenamen des Diensts so, dass er wie die Kurzform des Diensts lautet. Beispiel: ex.NTSERVICE\ Service Name$. Starten Sie anschließend den Dienst erneut. Empfehlung: Sollte es die Infrastruktur zulassen, verwenden Sie die verwalteten sowie die virtuellen Service-Konten, um die Sicherheit der Service-Konten-Passwort zu verwalten.
Quelle: PC-Welt