Önálló felügyelt szolgáltatásfiókok biztonságossá tétele
Az önálló felügyelt szolgáltatásfiókok (sMSA-k) felügyelt tartományi fiókok, amelyek segítenek a kiszolgálón futó szolgáltatások biztonságossá tételében. Nem használhatók újra több kiszolgálón. Az sMSA-k automatikus jelszókezeléssel, egyszerűsített egyszerű szolgáltatásnévvel (SPN) és rendszergazdai delegált felügyelettel rendelkeznek.
Az Active Directoryban (AD) az sMSA-k egy szolgáltatást futtató kiszolgálóhoz vannak kötve. A fiókokat a Microsoft Felügyeleti konzol Active Directory - felhasználók és számítógépek beépülő moduljában találja.
Feljegyzés
A felügyelt szolgáltatásfiókok a Windows Server 2008 R2 Active Directory-sémában lettek bevezetve, és Windows Server 2008 R2 vagy újabb verzióra van szükségük.
sMSA-előnyök
Az sMSA-k nagyobb biztonsággal rendelkeznek, mint a szolgáltatásfiókként használt felhasználói fiókok. Segítenek csökkenteni a felügyeleti többletterhelést:
- Erős jelszavak beállítása – Az sMSA-k 240 bájtos, véletlenszerűen generált összetett jelszavakat használnak
- Az összetettség minimálisra csökkenti annak valószínűségét, hogy találgatásos támadásokkal vagy szótári támadásokkal kompromisszumot kössenek
- Rendszeresen váltogatja a jelszavakat – A Windows 30 naponta módosítja az sMSA-jelszót.
- A szolgáltatás- és tartománygazdáknak nem kell jelszómódosításokat ütemezni vagy kezelni a kapcsolódó állásidőt
- Egyszerű szolgáltatásnév-kezelés egyszerűsítése – A rendszer frissíti az egyszerű szolgáltatásneveket, ha a tartomány működési szintje Windows Server 2008 R2. Az egyszerű szolgáltatásnév a következő esetekben frissül:
- A gazdaszámítógép-fiók átnevezése
- A gazdaszámítógép tartománynevének (DNS) nevének módosítása
- Más sam-accountname vagy dns-hostname paraméterek hozzáadása vagy eltávolítása a PowerShell használatával
- Lásd: Set-ADServiceAccount
SMSA-k használata
SMSA-k használatával egyszerűsítheti a felügyeleti és biztonsági feladatokat. Az sMSA-k akkor hasznosak, ha a szolgáltatások kiszolgálóra vannak üzembe helyezve, és nem használhat csoport által felügyelt szolgáltatásfiókot (gMSA).
Feljegyzés
Az sMSA-kat több szolgáltatáshoz is használhatja, de javasoljuk, hogy minden szolgáltatás rendelkezik identitással a naplózáshoz.
Ha a szoftver létrehozója nem tudja megmondani, hogy az alkalmazás MSA-t használ-e, tesztelje az alkalmazást. Hozzon létre egy tesztkörnyezetet, és győződjön meg arról, hogy hozzáfér a szükséges erőforrásokhoz.
További információ: Felügyelt szolgáltatásfiókok: Megértés, implementálás, ajánlott eljárások és hibaelhárítás
Az sMSA biztonsági helyzetének felmérése
Vegye figyelembe az sMSA hozzáférési hatókörét a biztonsági helyzet részeként. A lehetséges biztonsági problémák megoldásához tekintse meg a következő táblázatot:
| Biztonsági probléma | Kockázatcsökkentés |
|---|---|
| Az sMSA a kiemelt csoportok tagja | - Távolítsa el az sMSA-t emelt szintű jogosultsági csoportokból, például tartományi rendszergazdákból – A legkevésbé kiemelt modell használata – Az sMSA-jogosultságok és engedélyek megadása a szolgáltatások futtatásához – Ha nem biztos az engedélyekben, forduljon a szolgáltatás létrehozójához |
| Az sMSA olvasási/írási hozzáféréssel rendelkezik a bizalmas erőforrásokhoz | - Bizalmas erőforrásokhoz való hozzáférés naplózása – Biztonsági információ- és eseménykezelő (SIEM) program naplóinak archiválása, például az Azure Log Analytics vagy a Microsoft Sentinel – Erőforrás-engedélyek szervizelése nemkívánatos hozzáférés észlelése esetén |
| Alapértelmezés szerint az sMSA jelszóátállítási gyakorisága 30 nap | A vállalati biztonsági követelményektől függően csoportházirenddel hangolhatja az időtartamot. A jelszó lejárati időtartamának beállításához válassza a következőt: Számítógépkonfigurációs>házirendek>– A Windows beállításai>biztonsági beállítások>biztonsági beállításai. Tartományi tag esetén használja a maximális számítógépfiók-jelszó-életkort. |
SMSA-kihívások
A következő táblázat segítségével a kihívásokat a kockázatcsökkentésekhez társíthatja.
| Feladat | Kockázatcsökkentés |
|---|---|
| Az sMSA-k egyetlen kiszolgálón találhatók | GMSA használata a fiók kiszolgálók közötti használatára |
| Az sMSA-k nem használhatók tartományok között | GMSA használata a fiók tartományok közötti használatára |
| Nem minden alkalmazás támogatja az SMSA-kat | Ha lehetséges, használjon gMSA-t. Ellenkező esetben használjon standard felhasználói fiókot vagy számítógépfiókot a létrehozó által javasolt módon |
SMSA-k keresése
Egy tartományvezérlőn futtassa a DSA.msc fájlt, majd bontsa ki a felügyeltszolgáltatás-fiókok tárolóját az összes SMSA megtekintéséhez.
Ha az Active Directory tartományban lévő összes sMSA-t és gMSA-t vissza szeretné adni, futtassa a következő PowerShell-parancsot:
Get-ADServiceAccount -Filter *
Ha sMSA-kat szeretne visszaadni az Active Directory-tartományban, futtassa a következő parancsot:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
SMSA-k kezelése
Az sMSA-k kezeléséhez az alábbi AD PowerShell-parancsmagokat használhatja:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Váltás sMSA-kra
Ha egy alkalmazásszolgáltatás támogatja az SMSA-kat, de a gMSA-kat nem, és ön felhasználói fiókot vagy számítógépfiókot használ a biztonsági környezethez, olvassa el
a Felügyelt szolgáltatásfiókok: Megértés, implementálás, ajánlott eljárások és hibaelhárítás című témakört.
Ha lehetséges, helyezze át az erőforrásokat az Azure-ba, és használjon Azure-beli felügyelt identitásokat vagy szolgáltatásneveket.
Következő lépések
A szolgáltatásfiókok biztonságossá tételével kapcsolatos további információkért lásd: