Megosztás a következőn keresztül:


Biztonságos csoport által felügyelt szolgáltatásfiókok

A csoportosan felügyelt szolgáltatásfiókok (gMSA-k) tartományi fiókok a szolgáltatások biztonságossá tételéhez. A gMSA-k futtathatók egy kiszolgálón vagy egy kiszolgálófarmon, például a hálózati terheléselosztás mögötti rendszereken vagy az Internet Information Services (IIS) kiszolgálón. Miután konfigurálta a szolgáltatásokat gMSA-egyszerű használatára, a fiókjelszó-kezelést a Windows operációs rendszer (OS) kezeli.

A gMSA-k előnyei

A gMSA-k nagyobb biztonsággal rendelkező identitásmegoldások, amelyek segítenek csökkenteni az adminisztrációs terheket:

  • Erős jelszavak beállítása – 240 bájtos, véletlenszerűen létrehozott jelszavak: a gMSA-jelszavak összetettsége és hossza minimálisra csökkenti a találgatásos vagy szótári támadásokkal való kompromisszumok valószínűségét
  • Rendszeresen váltogathat jelszavakat – a jelszókezelés a Windows operációs rendszerre kerül, amely 30 naponta módosítja a jelszót. A szolgáltatás- és tartománygazdáknak nem kell jelszómódosításokat ütemezni, és nem kell kezelni a szolgáltatáskimaradásokat.
  • Kiszolgálófarmok üzembe helyezésének támogatása – gMSA-k üzembe helyezése több kiszolgálón a terheléselosztási megoldások támogatásához, ahol több gazdagép is ugyanazt a szolgáltatást futtatja
  • Egyszerű szolgáltatásnév (SPN) felügyeletének támogatása – fiók létrehozásakor állítson be egy egyszerű szolgáltatásnevet a PowerShell-lel.
    • Emellett az automatikus SPN-regisztrációkat támogató szolgáltatások a gMSA-n is elvégezhetik ezt, ha a gMSA-engedélyek helyesen vannak beállítva.

GMSA-k használata

A gMSA-kat használja a helyszíni szolgáltatások fióktípusaként, hacsak egy szolgáltatás, például a feladatátvételi fürtszolgáltatás nem támogatja azt.

Fontos

Tesztelje a szolgáltatást gMSA-kkal, mielőtt éles környezetbe kerül. Állítson be egy tesztkörnyezetet, hogy az alkalmazás a gMSA-t használja, majd hozzáférjen az erőforrásokhoz. További információ: Csoport által felügyelt szolgáltatásfiókok támogatása.

Ha egy szolgáltatás nem támogatja a gMSA-kat, használhat önálló felügyelt szolgáltatásfiókot (sMSA). Az sMSA ugyanazokkal a funkciókkal rendelkezik, de egyetlen kiszolgálón való üzembe helyezésre szolgál.

Ha nem tudja használni a szolgáltatás által támogatott gMSA-t vagy sMSA-t, konfigurálja a szolgáltatást standard felhasználói fiókként való futtatásra. A szolgáltatás- és tartománygazdáknak szigorú jelszókezelési folyamatokat kell megfigyelniük a fiók biztonsága érdekében.

GMSA biztonsági helyzet felmérése

A gMSA-k biztonságosabbak, mint a standard felhasználói fiókok, amelyek folyamatos jelszókezelést igényelnek. Vegye azonban figyelembe a gMSA hozzáférési hatókörét a biztonsági helyzethez képest. A gMSA-k használatának lehetséges biztonsági problémái és megoldásai az alábbi táblázatban láthatók:

Biztonsági probléma Kockázatcsökkentés
A gMSA a kiemelt csoportok tagja – Tekintse át a csoporttagságokat. Hozzon létre egy PowerShell-szkriptet a csoporttagságok számbavételéhez. Szűrje az eredményül kapott CSV-fájlt gMSA-fájlnevek
alapján – Távolítsa el a gMSA-t a kiemelt csoportokból
– Adja meg a szolgáltatás futtatásához szükséges gMSA-jogosultságokat és engedélyeket. Tekintse meg a szolgáltatás szállítóját.
A gMSA olvasási/írási hozzáféréssel rendelkezik a bizalmas erőforrásokhoz - Bizalmas erőforrásokhoz
való hozzáférés naplózása – Naplók archiválása egy SIEM-hez, például az Azure Log Analyticshez vagy a Microsoft Sentinelhez
– Szükségtelen hozzáférési szint esetén távolítsa el a szükségtelen erőforrás-engedélyeket

GMSA-k keresése

Felügyeltszolgáltatás-fiókok tárolója

A hatékony működéshez a gMSA-knak a Active Directory - felhasználók és számítógépek felügyeltszolgáltatás-fiókok tárolójában kell lenniük.

Ha nem szeretné megtalálni a szolgáltatás-MSA-kat a listában, futtassa a következő parancsokat:


Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

GMSA-k kezelése

A gMSA-k kezeléséhez használja a következő Active Directory PowerShell-parancsmagokat:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Feljegyzés

A Windows Server 2012 és újabb verziókban a *-ADServiceAccount parancsmagok gMSA-kkal működnek. További információ: A csoport által felügyelt szolgáltatásfiókok használatának első lépései.

Ugrás gMSA-ra

A gMSA-k a helyszíni szolgáltatások biztonságos fióktípusai. Ha lehetséges, ajánlott gMSA-kat használni. Emellett érdemes lehet áthelyezni a szolgáltatásokat az Azure-ba és a szolgáltatásfiókokat a Microsoft Entra ID-ba.

Feljegyzés

Mielőtt konfigurálja a szolgáltatást a gMSA használatára, olvassa el a csoport által felügyelt szolgáltatásfiókok használatának első lépéseit.

Váltás gMSA-ra:

  1. Győződjön meg arról, hogy a kulcsterjesztési szolgáltatás (KDS) gyökérkulcsa telepítve van az erdőben. Ez egy egyszeri művelet. Lásd: A Key Distribution Services KDS gyökérkulcsának létrehozása.
  2. Hozzon létre egy új gMSA-t. Lásd: A csoport által felügyelt szolgáltatásfiókok használatának első lépései.
  3. Telepítse az új gMSA-t a szolgáltatást futtató gazdagépekre.
  4. Módosítsa a szolgáltatásadentitást gMSA-ra.
  5. Adjon meg egy üres jelszót.
  6. Ellenőrizze, hogy a szolgáltatás az új gMSA-identitás alatt működik-e.
  7. Törölje a régi szolgáltatásfiók identitását.

Következő lépések

A szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért tekintse meg az alábbi cikkeket: