Sdílet prostřednictvím


Zabezpečení samostatných účtů spravované služby

Samostatné účty spravované služby (sMSA) jsou spravované doménové účty, které pomáhají zabezpečit služby spuštěné na serveru. Nejde je opakovaně používat na více serverech. SMSA mají automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN) a delegovanou správu správcům.

V Active Directory (AD) jsou sMSA svázané se serverem, na kterém běží služba. Účty najdete v modulu snap-in Uživatelé a počítače služby Active Directory v konzole Microsoft Management Console.

Poznámka:

Účty spravovaných služeb byly zavedeny ve schématu služby Active Directory systému Windows Server 2008 R2 a vyžadují Windows Server 2008 R2 nebo novější verzi.

Výhody sMSA

Účty sMSA mají větší zabezpečení než uživatelské účty používané jako účty služeb. Pomáhají snížit režijní náklady na správu:

  • Nastavení silných hesel – sMSA používají 240 bajtů, náhodně generovaná složitá hesla
    • Složitost minimalizuje pravděpodobnost ohrožení útokem hrubou silou nebo slovníkovými útoky.
  • Pravidelné cyklování hesel – Systém Windows každých 30 dní změní heslo sMSA.
    • Správci služeb a domén nepotřebují plánovat změny hesel ani spravovat související výpadky.
  • Zjednodušení správy hlavního názvu služby ( SPN) – Hlavní názvy služby (SPN) se aktualizují, pokud je funkční úroveň domény Windows Server 2008 R2. Hlavní název služby (SPN) se aktualizuje, když:
    • Přejmenování účtu hostitelského počítače
    • Změna názvu serveru DNS (Domain Name Server) hostitelského počítače
    • Přidání nebo odebrání dalších parametrů sam-accountname nebo dns-hostname pomocí PowerShellu
    • Viz, Set-ADServiceAccount

Použití sMSA

Použití sMSA ke zjednodušení úloh správy a zabezpečení SMSA jsou užitečné, když jsou služby nasazené na server a nemůžete použít účet spravované služby skupiny (gMSA).

Poznámka:

SMSA můžete použít pro více než jednu službu, ale doporučuje se, aby každá služba má identitu pro auditování.

Pokud vám tvůrce softwaru nemůže říct, jestli aplikace používá MSA, otestujte aplikaci. Vytvořte testovací prostředí a ujistěte se, že přistupuje k požadovaným prostředkům.

Další informace: Účty spravované služby: Principy, implementace, osvědčené postupy a řešení potíží

Posouzení stavu zabezpečení SMSA

Zvažte rozsah přístupu sMSA jako součást stavu zabezpečení. Pokud chcete zmírnit potenciální problémy se zabezpečením, projděte si následující tabulku:

Problém se zabezpečením Zmírnění
SMSA je členem privilegovaných skupin. – Odeberte sMSA ze zvýšených privilegovaných skupin, jako jsou Domain Admins
– Použití nejméně privilegovaného modelu
– Udělení oprávnění a oprávnění ke spuštění služeb
sMSA – Pokud si nejste jisti oprávněními, obraťte se na tvůrce služby.
SMSA má přístup pro čtení a zápis k citlivým prostředkům. – Auditovat přístup k citlivým prostředkům
– Archivace protokolů auditu do programu pro správu událostí a informací zabezpečení (SIEM), jako je Azure Log Analytics nebo Microsoft Sentinel
– Náprava oprávnění k prostředkům, pokud se zjistí nežádoucí přístup
Ve výchozím nastavení je frekvence vrácení hesla sMSA 30 dní. Pomocí zásad skupiny můžete dobu trvání vyladit v závislosti na požadavcích podnikového zabezpečení. Pokud chcete nastavit dobu platnosti hesla, přejděte na:
>Možnosti>zabezpečení nastavení zabezpečení nastavení>>konfigurace počítače. Pro člena domény použijte maximální stáří hesla účtu počítače.

Výzvy sMSA

Pomocí následující tabulky přidružte problémy se zmírněním rizik.

Úkol Zmírnění
SMSA jsou na jednom serveru Použití gMSA k používání účtu mezi servery
SMSA se nedají používat napříč doménami Použití gMSA k používání účtu napříč doménami
Ne všechny aplikace podporují sMSA Pokud je to možné, použijte gMSA. Jinak použijte standardní uživatelský účet nebo účet počítače, jak doporučuje tvůrce.

Vyhledání sMSA

Na řadiči domény spusťte DSA.msc a potom rozbalte kontejner účtů spravované služby, aby se zobrazily všechny sMSA.

Pokud chcete vrátit všechny objekty sMSA a gMSA v doméně služby Active Directory, spusťte následující příkaz PowerShellu:

Get-ADServiceAccount -Filter *

Pokud chcete vrátit certifikáty sMSA v doméně služby Active Directory, spusťte následující příkaz:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Správa sMSA

Ke správě sMSA můžete použít následující rutiny AD PowerShellu:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Přechod na SMSA

Pokud aplikační služba podporuje účty SMSA, ale ne účty gMSA a používáte uživatelský účet nebo účet počítače pro kontext zabezpečení, přečtěte si téma
Účty spravované služby: Principy, implementace, osvědčené postupy a řešení potíží.

Pokud je to možné, přesuňte prostředky do Azure a použijte spravované identity Azure nebo instanční objekty.

Další kroky

Další informace o zabezpečení účtů služeb najdete tady: