保護獨立受管理的服務帳戶
獨立受管理的服務帳戶 (sMSA) 是受控網域帳戶,可協助保護伺服器上執行的服務。 它們無法跨多部伺服器重複使用。 sMSA 可讓您執行自動密碼管理、簡化的服務主體名稱 (SPN) 管理,以及將管理委派給管理員。
在 Active Directory (AD) 中,sMSA 會繫結至執行服務的伺服器。 您可以在 Microsoft Management Console 的 Active Directory 使用者和電腦嵌入式管理單元中找到帳戶。
注意
受管理的服務帳戶是在 Windows Server 2008 R2 Active Directory 架構中引進的,且其需要 Windows Server 2008 R2 或更新版本。
sMSA 優點
比起用作服務帳戶的使用者帳戶,sMSA 具有更高的安全性。 sMSA 有助於減少系統管理額外負荷:
- 設定強式密碼:sMSA 使用 240 個位元組、隨機產生的複雜密碼
- 透過提高密碼的複雜度,可將因暴力密碼破解或字典攻擊而遭到入侵的可能性降至最低
- 定期循環密碼:Windows 每隔 30 天變更 sMSA 密碼。
- 服務和網域管理員不需要排定密碼變更或管理相關聯的停機
- 簡化 SPN 管理:如果網域功能等級為 Windows Server 2008 R2,則系統會更新 SPN。 當您執行以下操作時,便會更新 SPN:
- 重新命名主機電腦帳戶
- 變更主機電腦網域名稱伺服器 (DNS) 名稱
- 使用 PowerShell 新增或移除其他 sam-accountname 或 dns-hostname 參數
- 請參閱 Set-ADServiceAccount (英文)
使用 sMSA
使用 sMSA 簡化管理和安全性工作。 當服務部署至伺服器,且您無法使用群組受管理的服務帳戶 (gMSA) 時,則適合使用 sMSA。
注意
您可以針對多個服務使用 sMSA,但基於稽核目的,我們建議每個服務都有身分識別。
如果軟體建立者無法告訴您應用程式是否使用 MSA,請測試應用程式。 請建立測試環境,並確保其存取所有必要資源。
深入了解:受管理的服務帳戶:了解、實作、最佳做法以及疑難排解 (英文)
評定 sMSA 安全性態勢
請將 sMSA 存取範圍視為安全性態勢的一部分。 若要緩解潛在的安全性問題,請參閱下表:
| 安全性問題 | 風險降低 |
|---|---|
| sMSA 是具特殊權限群組的成員 | - 從提高權限且具特殊權限的群組 (例如網域管理員) 中移除 sMSA - 使用最低特殊權限的模型 - 授與 sMSA 執行其服務的權利與權限 - 如果您不確定權限,請洽詢服務建立者 |
| sMSA 具有敏感性資源的讀取/寫入權限 | - 稽核敏感性資源的存取 - 將稽核記錄封存至安全性資訊與事件管理 (SIEM) 程式,例如 Azure Log Analytics 或 Microsoft Sentinel - 如果偵測到不需要的存取,請補救資源權限 |
| sMSA 密碼變換頻率預設為 30 天 | 根據企業安全性需求,使用群組原則來調整持續時間。 若要設定密碼到期持續時間,請移至: [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [安全性選項]。 若為網域成員,請使用最長的電腦帳戶密碼存留期。 |
sMSA 挑戰
使用下表將挑戰與風險降低措施建立關聯。
| 挑戰 | 風險降低 |
|---|---|
| sMSA 位於單一伺服器上 | 請使用 gMSA 來跨伺服器使用帳戶 |
| sMSA 無法跨網域使用 | 請使用 gMSA 來跨網域使用帳戶 |
| 並非所有應用程式都支援 sMSA | 可能的話,請使用 gMSA。 否則,請依照建立者的建議,使用標準使用者帳戶或電腦帳戶 |
尋找 sMSA
在網域控制站上執行 DSA.msc,然後展開受管理的服務帳戶容器以檢視所有 sMSA。
若要傳回 Active Directory 網域中的所有 sMSA 和 gMSA,請執行下列 PowerShell 命令:
Get-ADServiceAccount -Filter *
若要傳回 Active Directory 網域中的 sMSA,請執行下列命令:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
管理 sMSA
若要管理 sMSA 帳戶,您可以使用下列 AD PowerShell Cmdlet:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
移至 sMSA
如果應用程式服務支援 sMSA,但不支援 gMSA,且您針對安全性內容使用使用者帳戶或電腦帳戶,請參閱
受管理的服務帳戶:了解、實作、最佳做法以及疑難排解 (英文)。
可能的話,請將資源移至 Azure,並使用 Azure 受控識別或服務主體。
下一步
若要深入了解如何保護服務帳戶,請參閱:
- 保護內部部署服務帳戶 (部分機器翻譯)
- 保護群組受管理的服務帳戶
- 使用 AD 保護內部部署電腦帳戶 (部分機器翻譯)
- 保護 AD 中的使用者型服務帳戶
- 管理內部部署服務帳戶