Contas de serviço
Uma conta de serviço é uma conta de usuário criada explicitamente para fornecer um contexto de segurança para serviços que estão sendo executados em sistemas operacionais Windows Server. O contexto de segurança determina a capacidade do serviço de acessar recursos locais e de rede. Os sistemas operacionais Windows dependem de serviços para executar vários recursos. Esses serviços podem ser configurados por meio dos aplicativos, do snap-in Serviços ou do Gerenciador de Tarefas, ou usando o Windows PowerShell.
Este artigo contém informações sobre os seguintes tipos de contas de serviço:
- Contas de serviço gerenciadas autônomas
- Contas de serviço gerenciadas do Grupo
- Contas de serviço gerenciadas delegadas
- Contas virtuais
Contas de serviço gerenciadas autônomas
As contas de serviço gerenciado são projetadas para isolar contas de domínio em aplicativos cruciais, como o IIS (Serviços de Informações da Internet). Eles eliminam a necessidade de um administrador administrar manualmente o SPN (nome da entidade de serviço) e as credenciais das contas.
Uma conta de serviço gerenciada pode ser usada para serviços em um único computador. As contas de serviço gerenciado não podem ser compartilhadas entre vários computadores e não podem ser usadas em clusters de servidor em que um serviço é replicado em vários nós de cluster. Para esse cenário, você deve usar uma conta de serviço gerenciada por grupo. Para obter mais informações, consulte a Visão geral de Contas de Serviço Gerido de Grupo .
Além da segurança aprimorada fornecida por ter contas individuais para serviços críticos, há quatro benefícios administrativos importantes associados às contas de serviço gerenciadas:
Você pode criar uma classe de contas de domínio que pode ser usada para gerenciar e manter serviços em computadores locais.
Ao contrário das contas de domínio em que os administradores devem redefinir manualmente as senhas, as senhas de rede para essas contas são redefinidas automaticamente.
Não é necessário concluir tarefas complexas de gerenciamento de SPN para usar contas de serviço gerenciadas.
Você pode delegar tarefas administrativas para contas de serviço gerenciadas a contas não administrativas.
Observação
As contas de serviço gerenciado aplicam-se somente aos sistemas operacionais Windows listados na Aplica-se a no início deste artigo.
Contas de serviço geridas do grupo
As contas de serviço gerenciado de grupo são uma extensão das contas de serviço gerenciado autônomas. Essas contas são contas de domínio gerenciadas que fornecem gerenciamento automático de senhas e gerenciamento simplificado de SPN, incluindo delegação de gerenciamento a outros administradores.
Uma conta de serviço gerenciado de grupo fornece a mesma funcionalidade que uma conta de serviço gerenciado autônoma dentro do domínio, mas estende essa funcionalidade por vários servidores. Quando se está a ligar a um serviço hospedado numa granja de servidores, como o Balanceamento de Carga de Rede, os protocolos de autenticação que suportam a autenticação mútua exigem que todas as instâncias dos serviços utilizem a mesma entidade de segurança. Quando as contas de serviço gerenciadas de grupo são usadas como entidades de serviço, o sistema operacional Windows Server gerencia a senha da conta em vez de depender do administrador para gerenciar a senha.
O Serviço de Distribuição de Chaves da Microsoft (kdssvc.dll) fornece o mecanismo para obter com segurança a chave mais recente ou uma chave específica com um identificador de chave para uma conta do Ative Directory (AD). Este serviço foi introduzido no Windows Server 2012 e não é executado em versões anteriores do sistema operacional Windows Server. Kdssvc.dll compartilha um segredo, que é usado para criar chaves para a conta. Essas chaves são alteradas periodicamente. Para uma conta de serviço gerenciada por grupo, o controlador de domínio (DC) calcula a senha na chave fornecida pelo kdssvc.dll, além de outros atributos da conta de serviço gerenciado do grupo.
Contas de serviço gerenciadas delegadas
A adição de um novo tipo de conta chamada Conta de Serviço Gerenciado delegado (dMSA) é introduzida no Windows Server 2025. Esse tipo de conta permite que os usuários façam a transição de contas de serviço tradicionais para contas de máquina que tenham chaves gerenciadas e totalmente aleatórias, além de desabilitar as senhas originais da conta de serviço. A autenticação para dMSA está vinculada à identidade do dispositivo, o que significa que apenas identidades de máquina especificadas mapeadas no AD podem acessar a conta. Usando o dMSA, os usuários podem evitar o problema comum da coleta de credenciais usando uma conta comprometida associada a contas de serviço tradicionais.
Os usuários têm a opção de criar uma dMSA como uma conta autônoma ou substituir uma conta de serviço padrão existente por ela. Se uma conta existente for substituída por uma dMSA, a autenticação usando a senha da conta antiga será bloqueada. Em vez disso, a solicitação é redirecionada para a Autoridade de Segurança Local (LSA) para autenticação usando o dMSA, que terá acesso aos mesmos recursos da conta anterior no AD. Para saber mais, consulte visão geral das Contas de Serviço Gerenciado Delegado.
Contas virtuais
As contas virtuais são contas locais gerenciadas que simplificam a administração do serviço, fornecendo os seguintes benefícios:
- A conta virtual é gerenciada automaticamente.
- A conta virtual pode acessar a rede em um ambiente de domínio.
- Não é necessário gerenciamento de senhas. Por exemplo, se o valor padrão for usado para as contas de serviço durante a instalação do SQL Server no Windows Server, uma conta virtual que usa o nome da instância como o nome do serviço será estabelecida no formato
NT SERVICE\<SERVICENAME>.
Os serviços executados como contas virtuais acessam recursos de rede usando as credenciais da conta de computador no formato <domain_name>\<computer_name>$.
Para saber como configurar e usar contas de serviço virtual, consulte Conceitos de conta de serviço gerenciado e conta virtual.
Observação
As contas virtuais aplicam-se apenas aos sistemas operativos Windows listados em "Aplica-se a" no início deste artigo.
Escolher a sua conta de serviço
As contas de serviço são usadas para controlar o acesso do serviço a recursos locais e de rede e ajudam a garantir que o serviço possa operar com segurança sem expor informações ou recursos confidenciais a usuários não autorizados. Para ver as diferenças entre os tipos de conta de serviço, consulte a nossa tabela de comparação:
| Critério | sMSA | gMSA | dMSA | Contas virtuais |
|---|---|---|---|---|
| O aplicativo é executado em um único servidor | Sim | Sim | Sim | Sim |
| O aplicativo é executado em vários servidores | Não | Sim | Não | Não |
| O aplicativo é executado atrás de um balanceador de carga | Não | Sim | Não | Não |
| O aplicativo é executado no Windows Server | Sim | Não | Não | Sim |
| Requisito para restringir a conta de serviço a um único servidor | Sim | Não | Sim | Não |
| Suporta conta de máquina vinculada à identidade do dispositivo | Não | Não | Sim | Não |
| Use para cenários de alta segurança (impedir a coleta de credenciais) | Não | Não | Sim | Não |
Ao escolher uma conta de serviço, é importante considerar fatores como o nível de acesso exigido pelo serviço, as políticas de segurança em vigor no servidor e as necessidades específicas do aplicativo ou serviço que está sendo executado.
sMSA: Projetado para uso em um único computador, os sMSAs fornecem um método seguro e simplificado para gerenciar SPNs e credenciais. Eles gerenciam senhas automaticamente e são ideais para isolar contas de domínio em aplicativos críticos. No entanto, eles não podem ser usados em vários servidores ou em clusters de servidores.
gMSA: Estenda a funcionalidade dos sMSAs suportando vários servidores, tornando-os adequados para farms de servidores e aplicativos com balanceamento de carga. Oferecem uma gestão automática de senhas e SPN, aliviando os encargos administrativos. Os gMSAs fornecem uma única solução de identidade, permitindo que os serviços se autentiquem em várias instâncias sem problemas.
dMSA: Vincula a autenticação a identidades específicas da máquina, evitando o acesso não autorizado através da recolha de credenciais, permitindo a transição das contas de serviço tradicionais para chaves totalmente aleatórias e geridas. Os dMSAs podem substituir as contas de serviço tradicionais existentes, garantindo que apenas dispositivos autorizados possam acessar recursos confidenciais.
Contas virtuais: Uma conta local gerenciada que fornece uma abordagem simplificada para a administração de serviços sem a necessidade de gerenciamento manual de senhas. Eles podem acessar recursos de rede usando as credenciais da conta do computador, tornando-os adequados para serviços que exigem acesso ao domínio. As contas virtuais são gerenciadas automaticamente e exigem configuração mínima.
Ver também
| Tipo de conteúdo | Referências |
|---|---|
| Avaliação do produto |
O que há de novo nas contas de serviço geridas Introdução às Contas de Serviço Gerenciado de Grupo |
| Implantação | Windows Server 2012: Contas de Serviço Gerenciado de Grupo - Tech Community |
| Tecnologias relacionadas |
Princípios de segurança O que há de novo nos Serviços de Domínio do Active Directory |