Zabezpečení skupinových účtů spravovaných služeb
Skupinové účty spravované služby (gMSAs) jsou doménové účty, které pomáhají zabezpečit služby. Účty gMSA můžou běžet na jednom serveru nebo v serverové farmě, jako jsou systémy za vyrovnáváním zatížení sítě nebo serverem Internetová informační služba (IIS). Jakmile nakonfigurujete služby tak, aby používaly objekt zabezpečení gMSA, bude správa hesel účtu zpracována operačním systémem Windows (OS).
Výhody gMSA
GMSA jsou řešení identit s větším zabezpečením, které pomáhá snížit režijní náklady na správu:
- Nastavení silných hesel – 240 bajtů, náhodně generovaných hesel: složitost a délka hesel gMSA minimalizuje pravděpodobnost ohrožení útokem hrubou silou nebo slovníkovými útoky.
- Pravidelné cyklování hesel – správa hesel přechází do operačního systému Windows, který mění heslo každých 30 dnů. Správci služeb a domén nemusí plánovat změny hesel ani spravovat výpadky služeb.
- Podpora nasazení do serverových farem – nasazení gMSA na více serverů za účelem podpory řešení s vyrovnáváním zatížení, ve kterých běží stejná služba více hostitelů
- Podpora zjednodušené správy hlavního názvu služby (SPN) – nastavení hlavního názvu služby (SPN) pomocí PowerShellu při vytváření účtu
- Kromě toho mohou služby, které podporují automatické registrace hlavního názvu služby (SPN), provádět proti gMSA, pokud jsou oprávnění gMSA správně nastavená.
Použití gMSA
Jako typ účtu pro místní služby použijte účty gMSA, pokud ji služba, jako je clustering s podporou převzetí služeb při selhání, nepodporuje.
Důležité
Otestujte službu pomocí gMSA, než přejde do produkčního prostředí. Nastavte testovací prostředí, abyste zajistili, že aplikace používá gMSA a pak přistupuje k prostředkům. Další informace najdete v tématu Podpora skupinových účtů spravovaných služeb.
Pokud služba nepodporuje účty gMSA, můžete použít samostatný účet spravované služby (sMSA). SMSA má stejné funkce, ale je určen pro nasazení na jednom serveru.
Pokud ve vaší službě nemůžete použít gMSA nebo sMSA, nakonfigurujte službu tak, aby běžela jako standardní uživatelský účet. Správci služeb a domén musí sledovat silné procesy správy hesel, které pomáhají udržet účet zabezpečený.
Posouzení stavu zabezpečení gMSA
Účty gMSA jsou bezpečnější než standardní uživatelské účty, které vyžadují průběžnou správu hesel. Zvažte však rozsah přístupu gMSA ve vztahu k stavu zabezpečení. Potenciální problémy se zabezpečením a zmírnění rizik při používání gMSA jsou uvedené v následující tabulce:
| Problém se zabezpečením | Zmírnění |
|---|---|
| gMSA je členem privilegovaných skupin. | - Zkontrolujte členství ve vaší skupině. Vytvořte skript PowerShellu pro vytvoření výčtu členství ve skupinách. Vyfiltrujte výsledný soubor CSV podle názvů souborů gMSA – Odeberte gMSA z privilegovaných skupin – Udělte oprávnění gMSA a oprávnění, která vyžaduje ke spuštění služby. Podívejte se na dodavatele služeb. |
| GMSA má přístup pro čtení a zápis k citlivým prostředkům | – Auditovat přístup k citlivým prostředkům – Archivace protokolů auditu do SIEM, jako je Azure Log Analytics nebo Microsoft Sentinel – Odebrání nepotřebných oprávnění k prostředkům, pokud existuje nepotřebná úroveň přístupu |
Vyhledání gMSA
Kontejner účtů spravované služby
Aby bylo možné efektivně pracovat, musí být účty gMSA v kontejneru účtů spravované služby.
Pokud chcete najít služby, které nejsou v seznamu, spusťte následující příkazy:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
Správa gMSA
Ke správě gMSA použijte následující rutiny PowerShellu služby Active Directory:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Poznámka:
Ve Windows Serveru 2012 a novějších verzích fungují rutiny *-ADServiceAccount s gMSA. Další informace: Začínáme se skupinovými účty spravovaných služeb
Přechod na gMSA
Účty gMSA jsou typem účtu zabezpečené služby pro místní prostředí. Pokud je to možné, doporučujeme používat gMSA. Kromě toho zvažte přesun služeb do Azure a účtů služeb do Microsoft Entra ID.
Poznámka:
Než nakonfigurujete službu tak, aby používala gMSA, přečtěte si téma Začínáme se skupinovými účty spravovaných služeb.
Přechod na gMSA:
- Ujistěte se, že je kořenový klíč služby KDS (Key Distribution Service) nasazený v doménové struktuře. Jedná se o jednorázovou operaci. Viz vytvoření kořenového klíče služby KDS Služby distribuce klíčů.
- Vytvořte novou gMSA. Přečtěte si, jak začít se skupinovými účty spravovaných služeb.
- Nainstalujte nové gMSA na hostitele, na kterých se služba spouští.
- Změňte identitu služby na gMSA.
- Zadejte prázdné heslo.
- Ověřte, že vaše služba pracuje pod novou identitou gMSA.
- Odstraňte starou identitu účtu služby.
Další kroky
Další informace o zabezpečení účtů služeb najdete v následujících článcích:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro