服务帐户是为运行应用程序而创建的用户帐户。例如,一个在线银行网站可能有一个运行代码的服务帐户。
与任何其他帐户一样,服务帐户也有密码。它们在两个重要方面不同于最终用户帐户的密码:
- 密码由我们生成(它们很大且随机)
- 密码由 Windows 存储,以便在需要时无需人工干预即可启动服务。
我试图弄清楚我们需要什么样的密码管理过程来围绕这些帐户站起来。
PCI-DSS指南为密码设置了以下一般指南:
- 在允许所有用户访问系统组件或持卡人数据之前,为所有用户分配一个唯一 ID。
- 控制用户 ID、凭据和其他标识符对象的添加、删除和修改。
- 立即撤销任何已终止用户的访问权限。
- 在 90 天内删除/禁用非活动用户帐户。
- 通过在不超过六次尝试后锁定用户 ID 来限制重复访问尝试。
- 将锁定持续时间设置为至少 30 分钟或直到管理员启用用户 ID。
- 如果会话空闲超过 15 分钟,则要求用户重新验证以重新激活终端或会话。
- 至少每 90 天更改一次用户密码/密码
但是其中一些规则对服务帐户没有任何意义。例如,强制执行 lockout 可能没有意义。例如,如果将相同的身份用于一系列微服务,那么每 90 天更改一次密码可能会非常痛苦。
这些规则是否适用于服务帐户,或仅适用于最终用户帐户?如果规则仅适用于最终用户帐户,那么服务帐户存在哪些规则(如果有)?
(“申请”是指“在 PCI 审核期间考虑”)