Zabezpečení samostatných účtů spravované služby
Samostatné účty spravované služby (sMSA) jsou spravované doménové účty, které pomáhají zabezpečit služby spuštěné na serveru. Nejde je opakovaně používat na více serverech. SMSA mají automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN) a delegovanou správu správcům.
V Active Directory (AD) jsou sMSA svázané se serverem, na kterém běží služba. Účty najdete v modulu snap-in Uživatelé a počítače služby Active Directory v konzole Microsoft Management Console.
Poznámka:
Účty spravovaných služeb byly zavedeny ve schématu služby Active Directory systému Windows Server 2008 R2 a vyžadují Windows Server 2008 R2 nebo novější verzi.
Výhody sMSA
Účty sMSA mají větší zabezpečení než uživatelské účty používané jako účty služeb. Pomáhají snížit režijní náklady na správu:
- Nastavení silných hesel – sMSA používají 240 bajtů, náhodně generovaná složitá hesla
- Složitost minimalizuje pravděpodobnost ohrožení útokem hrubou silou nebo slovníkovými útoky.
- Pravidelné cyklování hesel – Systém Windows každých 30 dní změní heslo sMSA.
- Správci služeb a domén nepotřebují plánovat změny hesel ani spravovat související výpadky.
- Zjednodušení správy hlavního názvu služby ( SPN) – Hlavní názvy služby (SPN) se aktualizují, pokud je funkční úroveň domény Windows Server 2008 R2. Hlavní název služby (SPN) se aktualizuje, když:
- Přejmenování účtu hostitelského počítače
- Změna názvu serveru DNS (Domain Name Server) hostitelského počítače
- Přidání nebo odebrání dalších parametrů sam-accountname nebo dns-hostname pomocí PowerShellu
- Viz, Set-ADServiceAccount
Použití sMSA
Použití sMSA ke zjednodušení úloh správy a zabezpečení SMSA jsou užitečné, když jsou služby nasazené na server a nemůžete použít účet spravované služby skupiny (gMSA).
Poznámka:
SMSA můžete použít pro více než jednu službu, ale doporučuje se, aby každá služba má identitu pro auditování.
Pokud vám tvůrce softwaru nemůže říct, jestli aplikace používá MSA, otestujte aplikaci. Vytvořte testovací prostředí a ujistěte se, že přistupuje k požadovaným prostředkům.
Další informace: Účty spravované služby: Principy, implementace, osvědčené postupy a řešení potíží
Posouzení stavu zabezpečení SMSA
Zvažte rozsah přístupu sMSA jako součást stavu zabezpečení. Pokud chcete zmírnit potenciální problémy se zabezpečením, projděte si následující tabulku:
Problém se zabezpečením | Zmírnění |
---|---|
SMSA je členem privilegovaných skupin. | – Odeberte sMSA ze zvýšených privilegovaných skupin, jako jsou Domain Admins – Použití nejméně privilegovaného modelu – Udělení oprávnění a oprávnění ke spuštění služeb sMSA – Pokud si nejste jisti oprávněními, obraťte se na tvůrce služby. |
SMSA má přístup pro čtení a zápis k citlivým prostředkům. | – Auditovat přístup k citlivým prostředkům – Archivace protokolů auditu do programu pro správu událostí a informací zabezpečení (SIEM), jako je Azure Log Analytics nebo Microsoft Sentinel – Náprava oprávnění k prostředkům, pokud se zjistí nežádoucí přístup |
Ve výchozím nastavení je frekvence vrácení hesla sMSA 30 dní. | Pomocí zásad skupiny můžete dobu trvání vyladit v závislosti na požadavcích podnikového zabezpečení. Pokud chcete nastavit dobu platnosti hesla, přejděte na: >Možnosti>zabezpečení nastavení zabezpečení nastavení>>konfigurace počítače. Pro člena domény použijte maximální stáří hesla účtu počítače. |
Výzvy sMSA
Pomocí následující tabulky přidružte problémy se zmírněním rizik.
Úkol | Zmírnění |
---|---|
SMSA jsou na jednom serveru | Použití gMSA k používání účtu mezi servery |
SMSA se nedají používat napříč doménami | Použití gMSA k používání účtu napříč doménami |
Ne všechny aplikace podporují sMSA | Pokud je to možné, použijte gMSA. Jinak použijte standardní uživatelský účet nebo účet počítače, jak doporučuje tvůrce. |
Vyhledání sMSA
Na řadiči domény spusťte DSA.msc a potom rozbalte kontejner účtů spravované služby, aby se zobrazily všechny sMSA.
Pokud chcete vrátit všechny objekty sMSA a gMSA v doméně služby Active Directory, spusťte následující příkaz PowerShellu:
Get-ADServiceAccount -Filter *
Pokud chcete vrátit certifikáty sMSA v doméně služby Active Directory, spusťte následující příkaz:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Správa sMSA
Ke správě sMSA můžete použít následující rutiny AD PowerShellu:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Přechod na SMSA
Pokud aplikační služba podporuje účty SMSA, ale ne účty gMSA a používáte uživatelský účet nebo účet počítače pro kontext zabezpečení, přečtěte si téma
Účty spravované služby: Principy, implementace, osvědčené postupy a řešení potíží.
Pokud je to možné, přesuňte prostředky do Azure a použijte spravované identity Azure nebo instanční objekty.
Další kroky
Další informace o zabezpečení účtů služeb najdete tady: