Bezpieczne konta usług zarządzane przez grupę
Konta usług zarządzanych przez grupę (gMSA) to konta domeny ułatwiające zabezpieczanie usług. Konta gMSA mogą działać na jednym serwerze lub w farmie serwerów, takich jak systemy za równoważeniem obciążenia sieciowego lub serwerem usług Internet Information Services (IIS). Po skonfigurowaniu usług tak, aby korzystały z podmiotu zabezpieczeń grupy, zarządzanie hasłami konta jest obsługiwane przez system operacyjny Windows.
Korzyści wynikające z zarządzania zasadami grupy
Konta gMSA to rozwiązanie do obsługi tożsamości z większymi zabezpieczeniami, które pomagają zmniejszyć nakład pracy administracyjnej:
- Ustawianie silnych haseł — 240 bajtów , losowo generowanych haseł: złożoność i długość haseł gMSA minimalizuje prawdopodobieństwo naruszenia bezpieczeństwa przez ataki siłowe lub słownikowe
- Regularne cykle haseł — zarządzanie hasłami przechodzi do systemu operacyjnego Windows, który zmienia hasło co 30 dni. Administratorzy usług i domen nie muszą planować zmian haseł ani zarządzać awariami usługi.
- Obsługa wdrażania w farmach serwerów — wdrażanie kont zasad grupy na wielu serwerach w celu obsługi rozwiązań ze zrównoważonym obciążeniem, na których wiele hostów uruchamia tę samą usługę
- Obsługa uproszczonego zarządzania nazwą główną usługi (SPN) — skonfiguruj nazwę SPN przy użyciu programu PowerShell podczas tworzenia konta.
- Ponadto usługi, które obsługują automatyczne rejestracje głównej nazwy usługi, mogą to zrobić w odniesieniu do konta usługi zarządzanej przez grupy, jeśli uprawnienia gMSA są ustawione poprawnie.
Korzystanie z zasad grupy
Użyj konta zarządzanego przez grupę jako typu konta dla usług lokalnych, chyba że usługa, taka jak klaster trybu failover, nie obsługuje go.
Ważne
Przetestuj usługę za pomocą kont zasad grupy przed przejściem do środowiska produkcyjnego. Skonfiguruj środowisko testowe, aby upewnić się, że aplikacja korzysta z usługi gMSA, a następnie uzyskuje dostęp do zasobów. Aby uzyskać więcej informacji, zobacz Obsługa kont usług zarządzanych przez grupę.
Jeśli usługa nie obsługuje zasad grupy, możesz użyć autonomicznego zarządzanego konta usługi (sMSA). Usługa sMSA ma tę samą funkcjonalność, ale jest przeznaczona do wdrożenia na jednym serwerze.
Jeśli nie możesz użyć konta gMSA lub sMSA obsługiwanego przez usługę, skonfiguruj usługę do uruchamiania jako konto użytkownika standardowego. Administratorzy usług i domen są zobowiązani do obserwowania silnych procesów zarządzania hasłami w celu zapewnienia bezpieczeństwa konta.
Ocena stanu zabezpieczeń gMSA
Konta gMSA są bezpieczniejsze niż standardowe konta użytkowników, które wymagają ciągłego zarządzania hasłami. Należy jednak wziąć pod uwagę zakres dostępu gMSA w odniesieniu do stanu zabezpieczeń. W poniższej tabeli przedstawiono potencjalne problemy z zabezpieczeniami i środki zaradcze związane z używaniem zasad grupy:
| Problem z zabezpieczeniami | Czynności zapobiegawcze |
|---|---|
| gMSA jest członkiem uprzywilejowanych grup | — Przejrzyj członkostwa w grupach. Utwórz skrypt programu PowerShell w celu wyliczenia członkostwa w grupach. Filtruj wynikowy plik CSV według nazw plików gMSA — usuń grupę gMSA z uprzywilejowanych grup — udziel uprawnień gMSA i uprawnień, których wymaga uruchomienia usługi. Zobacz dostawcę usługi. |
| GMSA ma dostęp do odczytu/zapisu do poufnych zasobów | — Inspekcja dostępu do poufnych zasobów — Archiwizowanie dzienników inspekcji w rozwiązaniu SIEM, takich jak Azure Log Analytics lub Microsoft Sentinel — usuwanie niepotrzebnych uprawnień zasobów, jeśli istnieje niepotrzebny poziom dostępu |
Znajdowanie kont zasad grupy
Kontener zarządzanych kont usług
Aby efektywnie pracować, konta gMSA muszą znajdować się w kontenerze Zarządzane konta usług w Użytkownicy i komputery usługi Active Directory.
Aby znaleźć usługi MSA, które nie znajdują się na liście, uruchom następujące polecenia:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
Zarządzanie kontami zasad grupy
Aby zarządzać kontami zasad grupy, użyj następujących poleceń cmdlet programu PowerShell usługi Active Directory:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Uwaga
W systemie Windows Server 2012 i nowszych wersjach polecenia cmdlet *-ADServiceAccount działają z kontami gMSA. Dowiedz się więcej: Wprowadzenie do kont usług zarządzanych przez grupę.
Przechodzenie do konta zarządzanego przez grupy
Konta gMSA to bezpieczny typ konta usługi dla środowiska lokalnego. Zaleca się użycie zasad grupy, jeśli jest to możliwe. Ponadto rozważ przeniesienie usług na platformę Azure i konta usług do identyfikatora Entra firmy Microsoft.
Uwaga
Przed skonfigurowaniem usługi do korzystania z konta usługi zarządzanej przez grupę zobacz Wprowadzenie do kont usług zarządzanych przez grupę.
Aby przejść do konta zarządzanego przez grupy:
- Upewnij się, że klucz główny usługi dystrybucji kluczy (KDS) został wdrożony w lesie. Jest to jednorazowa operacja. Zobacz Create the Key Distribution Services KDS Root Key Key (Tworzenie klucza głównego usługi dystrybucji kluczy KDS).
- Utwórz nowy gMSA. Zobacz Wprowadzenie do kont usług zarządzanych przez grupę.
- Zainstaluj nowe konto zarządzane przez grupę na hostach, na których jest uruchamiana usługa.
- Zmień tożsamość usługi na gMSA.
- Określ puste hasło.
- Zweryfikuj, czy twoja usługa działa w ramach nowej tożsamości gMSA.
- Usuń starą tożsamość konta usługi.
Następne kroki
Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz następujące artykuły: