Habituellement, lors de l'installation par défaut d'une application, l'administrateur peut configurer celle-ci afin de lancer son service associé soit en tant que Local System, Local Service ou Network Service.
Il était également possible d'indiquer un compte de domaine afin de lancer ce service mais ce compte de domaine devait généralement avoir un mot de passe qui n'expirait jamais. De plus, la sécurité de ce compte laissait fortement à désirer car le mot de passe se trouvait dans le cache LSA et devenait alors assez facilement accessible.
Deux nouveaux types de comptes de service voient le jour avec Windows Server 2008 R2 (et Windows 7). Il s’agit des "comptes de services gérés" (appelés aussi Managed Service Accounts ou MSA) et les comptes virtuels (virtual accounts).
Grâce à ces nouveaux types de comptes, vous allez vous affranchir de la gestion des mots de passe pour les comptes de services car ces derniers se renouvelleront automatiquement ! Il n’est ainsi plus nécessaire d’avoir à définir un compte de service avec un mot de passe qui n’expire jamais.
Les comptes de services gérés sont des nouveaux types de comptes de domaine utilisés pour lancer des services. Ils sont ainsi utilisés afin que leur mot de passe soit changé automatiquement et afin de simplifier la gestion des SPN (Service Principal Name). Pour rappel, le SPN est nécessaire à l’authentification Kerberos.
Cela permet ainsi de fournir une sécurité accrue du mot de passe du compte de domaine utilisé pour l’exécution d’applications comme SQL Server, IIS, Exchange, ou tout autre service (à condition que l’éditeur de votre application supporte l’utilisation d’un MSA).
Les comptes virtuels sont des comptes de services locaux qui ne nécessitent pas non plus de gestion de leur mot de passe. Les autorisations du compte ordinateur sont utilisées lorsque le service doit accéder à des ressources présentes sur le domaine. Nous allons nous concentrer ici plus particulièrement sur l’utilisation des comptes de services gérés car ces derniers peuvent être très utiles dans des environnements de production importants.
Téléchargez cette ressource
Guide de convergence du SOC et de la sécurité du cloud
Les menaces actuelles ne se cantonnent plus à une seule couche de votre environnement. Ressources cloud, systèmes d’entreprise, applications… elles se déplacent facilement par latéralisation. Pour protéger l’ensemble de votre infrastructure cloud, votre entreprise a besoin d’une approche unifiée qui place les données, la Threat Intelligence pilotée par IA et l’automatisation au service d’une protection complète. Découvrez tous les enjeux de la fusion entre CloudSec et SOC pour assurer une protection plus robuste, plus efficace de votre cloud.
Tech - Par
Freddy Elmaleh - Publié le 21 avril 2011
