Habituellement, lors de l'installation par défaut d'une application, l'administrateur peut configurer celle-ci afin de lancer son service associé soit en tant que Local System, Local Service ou Network Service.
Il était également possible d'indiquer un compte de domaine afin de lancer ce service mais ce compte de domaine devait généralement avoir un mot de passe qui n'expirait jamais. De plus, la sécurité de ce compte laissait fortement à désirer car le mot de passe se trouvait dans le cache LSA et devenait alors assez facilement accessible.
Deux nouveaux types de comptes de service voient le jour avec Windows Server 2008 R2 (et Windows 7). Il s’agit des "comptes de services gérés" (appelés aussi Managed Service Accounts ou MSA) et les comptes virtuels (virtual accounts).
Grâce à ces nouveaux types de comptes, vous allez vous affranchir de la gestion des mots de passe pour les comptes de services car ces derniers se renouvelleront automatiquement ! Il n’est ainsi plus nécessaire d’avoir à définir un compte de service avec un mot de passe qui n’expire jamais.
Les comptes de services gérés sont des nouveaux types de comptes de domaine utilisés pour lancer des services. Ils sont ainsi utilisés afin que leur mot de passe soit changé automatiquement et afin de simplifier la gestion des SPN (Service Principal Name). Pour rappel, le SPN est nécessaire à l’authentification Kerberos.
Cela permet ainsi de fournir une sécurité accrue du mot de passe du compte de domaine utilisé pour l’exécution d’applications comme SQL Server, IIS, Exchange, ou tout autre service (à condition que l’éditeur de votre application supporte l’utilisation d’un MSA).
Les comptes virtuels sont des comptes de services locaux qui ne nécessitent pas non plus de gestion de leur mot de passe. Les autorisations du compte ordinateur sont utilisées lorsque le service doit accéder à des ressources présentes sur le domaine. Nous allons nous concentrer ici plus particulièrement sur l’utilisation des comptes de services gérés car ces derniers peuvent être très utiles dans des environnements de production importants.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
Tech - Par
Freddy Elmaleh - Publié le 21 avril 2011
