Compartir vía


Protección de cuentas de servicio administradas de grupo

Las cuentas de servicio administradas de grupo (gMSA) son cuentas de dominio que ayudan a proteger los servicios. Las gMSA se pueden ejecutar en un servidor o en una granja de servidores, como los sistemas que están detrás de un equilibrador de carga de red o un servidor de Internet Information Services (IIS). Una vez que configure los servicios para usar una entidad de seguridad de gMSA, el sistema operativo (SO) Windows se encargará de la administración de contraseñas de la cuenta.

Ventajas de las gMSA

Las gMSA son una solución de identidad que presenta una mayor seguridad y ayuda a reducir la sobrecarga administrativa:

  • Creación de contraseñas fuertes: Contraseñas de 240 bytes generadas aleatoriamente. La complejidad y la longitud de las contraseñas de gMSA minimizan la probabilidad de que los ataques de diccionario y fuerza bruta pongan en peligro las cuentas
  • Cambio periódico de contraseñas: La administración de contraseñas pasa a ser responsabilidad del sistema operativo Windows, que cambia la contraseña cada 30 días. No es necesario que los administradores de servicios y dominios programen los cambios de contraseña ni que administren las interrupciones del servicio asociadas.
  • Soporte para la implementación en granjas de servidores: Implementación de las gMSA en varios servidores para permitir la compatibilidad con soluciones de equilibrio de carga en las que varios hosts ejecuten el mismo servicio
  • Soporte para la administración simplificada de nombres de entidad de seguridad de servicio (SPN): Establece un SPN mediante PowerShell al crear una cuenta.
    • Además, los servicios que admiten registros de SPN automáticos pueden hacerlo en la gMSA si los permisos de la gMSA se han establecido correctamente.

Uso de gMSA

Use las gMSA como el tipo de cuenta para los servicios locales, a menos que un servicio, como el clúster de conmutación por error, no lo admita.

Importante

Pruebe el servicio con gMSA antes de pasar a producción. Configure un entorno de prueba para asegurar que la aplicación use la gMSA y que luego acceda a los recursos. Para más información, consulte Compatibilidad con las cuentas de servicio administradas de grupo.

Si un servicio no admite el uso de gMSA, puede usar una cuenta de servicio administrada independiente (sMSA). Una sMSA tiene la misma funcionalidad, pero solo se puede implementar en un único servidor.

Si no puede usar una gMSA o sMSA que el servicio admita, configure el servicio para que se ejecute como cuenta de usuario estándar. Los administradores de servicios y dominios deben observar los procesos de administración de contraseñas seguras para ayudar a mantener protegida la cuenta.

Evaluación de la posición de seguridad de gMSA

Las gMSA son más seguras que las cuentas de usuario estándar, que requieren la administración continua de contraseñas. Sin embargo, considere el ámbito de acceso de las gMSA en relación con la posición de seguridad. En la tabla siguiente se muestran posibles problemas de seguridad y mitigaciones para el uso de gMSA:

Problema de seguridad Mitigación
La gMSA es parte de los grupos con privilegios - Revise las pertenencias a grupos. Cree un script de PowerShell para enumerar las pertenencias a grupos. Filtre el archivo CSV resultante por nombres de archivo de gMSA.
- Elimine gMSA de los grupos privilegiados.
- Conceda a gMSA los derechos y permisos que necesita para ejecutar su servicio. Consulte con su proveedor de servicios.
La gMSA tiene acceso de lectura y escritura a los recursos confidenciales - Audite el acceso a recursos confidenciales.
-Archive los registros de auditoría en un SIEM, como Azure Log Analytics o Microsoft Sentinel.
- Quite los permisos de recursos innecesarios si hay un nivel de acceso innecesario.

Búsqueda de las gMSA

Contenedor de cuentas de servicio administradas

Para funcionar de forma eficaz, las gMSA deben estar en el contenedor Cuentas de servicio administradas en Usuarios y equipos de Active Directory.

Para buscar las MSA de servicio que no están en la lista, ejecute los siguientes comandos:


Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Administración de las gMSA

Para administrar las gMSA, use los siguientes cmdlets de PowerShell de Active Directory:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Nota

En Windows Server 2012 y versiones posteriores, los cmdlets *-ADServiceAccount funcionan con las gMSA. Obtenga más información: Introducción a las cuentas de servicio administradas de grupo.

Migración a una gMSA

Los gMSA son un tipo de cuenta de servicio segura para el entorno local. Se recomienda usar gMSA, si es posible. Además, considere la posibilidad de migrar los servicios a Azure y las cuentas de servicio a Microsoft Entra ID.

Nota:

Antes de configurar el servicio para usar gMSA, consulte Introducción a las cuentas de servicio administradas de grupo.

Para migrar a una gMSA:

  1. Asegúrese de que la clave raíz del Servicio de distribución de claves (KDS) esté implementada en el bosque. Esta operación solo se realiza una vez. Consulte Creación de la clave raíz del servicio de distribución de claves (KDS).
  2. Cree una gMSA nueva. Consulte Introducción a las cuentas de servicio administrado de grupo.
  3. Instale la nueva gMSA en los hosts que ejecutan el servicio.
  4. Cambie la identidad de servicio a gMSA.
  5. Especifique una contraseña en blanco.
  6. Valide que el servicio funcione con la nueva identidad de gMSA.
  7. Elimine la identidad de la cuenta de servicio anterior.

Pasos siguientes

Para obtener más información sobre la protección de las cuentas de servicio, consulte los artículos siguientes: