Biztonságos csoport által felügyelt szolgáltatásfiókok
A csoportosan felügyelt szolgáltatásfiókok (gMSA-k) tartományi fiókok a szolgáltatások biztonságossá tételéhez. A gMSA-k futtathatók egy kiszolgálón vagy egy kiszolgálófarmon, például a hálózati terheléselosztás mögötti rendszereken vagy az Internet Information Services (IIS) kiszolgálón. Miután konfigurálta a szolgáltatásokat gMSA-egyszerű használatára, a fiókjelszó-kezelést a Windows operációs rendszer (OS) kezeli.
A gMSA-k előnyei
A gMSA-k nagyobb biztonsággal rendelkező identitásmegoldások, amelyek segítenek csökkenteni az adminisztrációs terheket:
- Erős jelszavak beállítása – 240 bájtos, véletlenszerűen létrehozott jelszavak: a gMSA-jelszavak összetettsége és hossza minimálisra csökkenti a találgatásos vagy szótári támadásokkal való kompromisszumok valószínűségét
- Rendszeresen váltogathat jelszavakat – a jelszókezelés a Windows operációs rendszerre kerül, amely 30 naponta módosítja a jelszót. A szolgáltatás- és tartománygazdáknak nem kell jelszómódosításokat ütemezni, és nem kell kezelni a szolgáltatáskimaradásokat.
- Kiszolgálófarmok üzembe helyezésének támogatása – gMSA-k üzembe helyezése több kiszolgálón a terheléselosztási megoldások támogatásához, ahol több gazdagép is ugyanazt a szolgáltatást futtatja
- Egyszerű szolgáltatásnév (SPN) felügyeletének támogatása – fiók létrehozásakor állítson be egy egyszerű szolgáltatásnevet a PowerShell-lel.
- Emellett az automatikus SPN-regisztrációkat támogató szolgáltatások a gMSA-n is elvégezhetik ezt, ha a gMSA-engedélyek helyesen vannak beállítva.
GMSA-k használata
A gMSA-kat használja a helyszíni szolgáltatások fióktípusaként, hacsak egy szolgáltatás, például a feladatátvételi fürtszolgáltatás nem támogatja azt.
Fontos
Tesztelje a szolgáltatást gMSA-kkal, mielőtt éles környezetbe kerül. Állítson be egy tesztkörnyezetet, hogy az alkalmazás a gMSA-t használja, majd hozzáférjen az erőforrásokhoz. További információ: Csoport által felügyelt szolgáltatásfiókok támogatása.
Ha egy szolgáltatás nem támogatja a gMSA-kat, használhat önálló felügyelt szolgáltatásfiókot (sMSA). Az sMSA ugyanazokkal a funkciókkal rendelkezik, de egyetlen kiszolgálón való üzembe helyezésre szolgál.
Ha nem tudja használni a szolgáltatás által támogatott gMSA-t vagy sMSA-t, konfigurálja a szolgáltatást standard felhasználói fiókként való futtatásra. A szolgáltatás- és tartománygazdáknak szigorú jelszókezelési folyamatokat kell megfigyelniük a fiók biztonsága érdekében.
GMSA biztonsági helyzet felmérése
A gMSA-k biztonságosabbak, mint a standard felhasználói fiókok, amelyek folyamatos jelszókezelést igényelnek. Vegye azonban figyelembe a gMSA hozzáférési hatókörét a biztonsági helyzethez képest. A gMSA-k használatának lehetséges biztonsági problémái és megoldásai az alábbi táblázatban láthatók:
Biztonsági probléma | Kockázatcsökkentés |
---|---|
A gMSA a kiemelt csoportok tagja | – Tekintse át a csoporttagságokat. Hozzon létre egy PowerShell-szkriptet a csoporttagságok számbavételéhez. Szűrje az eredményül kapott CSV-fájlt gMSA-fájlnevek alapján – Távolítsa el a gMSA-t a kiemelt csoportokból – Adja meg a szolgáltatás futtatásához szükséges gMSA-jogosultságokat és engedélyeket. Tekintse meg a szolgáltatás szállítóját. |
A gMSA olvasási/írási hozzáféréssel rendelkezik a bizalmas erőforrásokhoz | - Bizalmas erőforrásokhoz való hozzáférés naplózása – Naplók archiválása egy SIEM-hez, például az Azure Log Analyticshez vagy a Microsoft Sentinelhez – Szükségtelen hozzáférési szint esetén távolítsa el a szükségtelen erőforrás-engedélyeket |
GMSA-k keresése
Felügyeltszolgáltatás-fiókok tárolója
A hatékony működéshez a gMSA-knak a Active Directory - felhasználók és számítógépek felügyeltszolgáltatás-fiókok tárolójában kell lenniük.
Ha nem szeretné megtalálni a szolgáltatás-MSA-kat a listában, futtassa a következő parancsokat:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
GMSA-k kezelése
A gMSA-k kezeléséhez használja a következő Active Directory PowerShell-parancsmagokat:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Feljegyzés
A Windows Server 2012 és újabb verziókban a *-ADServiceAccount parancsmagok gMSA-kkal működnek. További információ: A csoport által felügyelt szolgáltatásfiókok használatának első lépései.
Ugrás gMSA-ra
A gMSA-k a helyszíni szolgáltatások biztonságos fióktípusai. Ha lehetséges, ajánlott gMSA-kat használni. Emellett érdemes lehet áthelyezni a szolgáltatásokat az Azure-ba és a szolgáltatásfiókokat a Microsoft Entra ID-ba.
Feljegyzés
Mielőtt konfigurálja a szolgáltatást a gMSA használatára, olvassa el a csoport által felügyelt szolgáltatásfiókok használatának első lépéseit.
Váltás gMSA-ra:
- Győződjön meg arról, hogy a kulcsterjesztési szolgáltatás (KDS) gyökérkulcsa telepítve van az erdőben. Ez egy egyszeri művelet. Lásd: A Key Distribution Services KDS gyökérkulcsának létrehozása.
- Hozzon létre egy új gMSA-t. Lásd: A csoport által felügyelt szolgáltatásfiókok használatának első lépései.
- Telepítse az új gMSA-t a szolgáltatást futtató gazdagépekre.
- Módosítsa a szolgáltatásadentitást gMSA-ra.
- Adjon meg egy üres jelszót.
- Ellenőrizze, hogy a szolgáltatás az új gMSA-identitás alatt működik-e.
- Törölje a régi szolgáltatásfiók identitását.
Következő lépések
A szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért tekintse meg az alábbi cikkeket: