Поделиться через


Защита изолированных управляемых учетных записей служб

Автономные управляемые учетные записи служб (SMSAs) — это управляемые учетные записи домена, которые помогают защитить службы, работающие на сервере. Их нельзя использовать на разных серверах. SMSAs имеют автоматическое управление паролями, упрощенное управление именем субъекта-службы и делегированное управление администраторами.

В Active Directory (AD) SMSAs привязаны к серверу, на котором выполняется служба. Учетные записи можно найти в оснастке Пользователи и компьютеры Active Directory в консоли управления Майкрософт.

Примечание.

Управляемые учетные записи служб появились в схеме Active Directory Windows Server 2008 R2 и требуют windows Server 2008 R2 или более поздней версии.

Преимущества sMSA

SMSAs имеют большую безопасность, чем учетные записи пользователей, используемые в качестве учетных записей служб. Они помогают сократить административные издержки:

  • Установка надежных паролей . SMSAs используют 240 байтов, случайным образом созданные сложные пароли
    • Сложность сводит к минимуму вероятность компрометации путем атак подбора или словаря
  • Регулярное циклическая смена паролей — Windows изменяет пароль sMSA каждые 30 дней.
    • Администраторы службы и домена не должны планировать изменения паролей или управлять связанным временем простоя
  • Упрощение управления именами субъектов-служб . Имена субъектов-служб обновляются, если уровень функциональности домена — Windows Server 2008 R2. Имя субъекта-службы обновляется при выполнении следующих процедур:
    • Переименование учетной записи компьютера узла
    • Изменение имени сервера доменных имен хост-компьютера (DNS)
    • Добавление или удаление других параметров sam-accountname или dns-hostname с помощью PowerShell
    • См. раздел Set-ADServiceAccount

Использование SMSAs

Используйте SMSAs для упрощения задач управления и безопасности. SMSAs полезны при развертывании служб на сервере, и вы не можете использовать управляемую группу учетную запись службы (gMSA).

Примечание.

Вы можете использовать SMSAs для нескольких служб, но рекомендуется, чтобы каждая служба была удостоверением для аудита.

Если создатель программного обеспечения не может сообщить вам, использует ли приложение MSA, протестируйте приложение. Создайте тестовую среду и убедитесь, что она обращается к необходимым ресурсам.

Дополнительные сведения: управляемые учетные записи служб: общие сведения, реализация, рекомендации и устранение неполадок

Оценка состояния безопасности sMSA

Рассмотрим область доступа sMSA как часть состояния безопасности. Чтобы устранить потенциальные проблемы с безопасностью, см. в следующей таблице:

Проблема безопасности Исправление
sMSA входит в привилегированные группы — Удалите SMSA из привилегированных групп с повышенными привилегиями, например администраторы домена. Используйте наименее привилегированную модель
— предоставьте права и разрешения sMSA для запуска служб
. Если вы не уверены в разрешениях
, обратитесь к создателю службы.
SMSA имеет доступ на чтение и запись к конфиденциальным ресурсам — Аудит доступа к конфиденциальным ресурсам — архивирование журналов аудита в программе управления сведениями о безопасности
и событиями (SIEM), например Azure Log Analytics или Microsoft Sentinel
— исправление разрешений ресурсов при обнаружении нежелательного доступа
По умолчанию частота смены пароля sMSA составляет 30 дней Используйте групповую политику для настройки длительности в зависимости от требований корпоративной безопасности. Чтобы задать срок действия пароля, перейдите к:
Параметры безопасности параметров безопасности политик конфигурации>>>компьютера Windows.> Для параметр "Член домена" установите значение Максимальный срок действия пароля учетных записей компьютера.

Проблемы sMSA

Используйте следующую таблицу для связывания проблем с устранением рисков.

Задача Исправление
SMSAs находятся на одном сервере Использование gMSA для использования учетной записи на разных серверах
Не удается использовать SMSAs в разных доменах Использование gMSA для использования учетной записи в разных доменах
Не все приложения поддерживают SMSAs При возможности используйте gMSA. В противном случае используйте стандартную учетную запись пользователя или учетную запись компьютера, как рекомендуется создателем.

Поиск sMSA

На контроллере домена запустите DSA.msc и разверните контейнер управляемых учетных записей служб для просмотра всех SMSAs.

Следующая команда PowerShell возвращает все sMSA и gMSA в домене Active Directory:

Get-ADServiceAccount -Filter *

Чтобы вернуть SMSAs в домене Active Directory, выполните следующую команду:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Управление sMSA

Для управления SMSAs можно использовать следующие командлеты AD PowerShell:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Перемещение в sMSA

Если служба приложений поддерживает SMSAs, но не gMSAs, и вы используете учетную запись пользователя или учетную запись компьютера для контекста безопасности, см. статью
"Управляемые учетные записи службы: общие сведения, реализация, рекомендации и устранение неполадок".

При возможности переместите ресурсы в Azure и используйте управляемые удостоверения Azure или субъекты-службы.

Следующие шаги

Дополнительные сведения о защите учетных записей служб см. в следующем разделе: