Akun layanan terkelola grup yang aman
Akun layanan terkelola grup (gMSA) adalah akun domain untuk membantu mengamankan layanan. gMSA dapat berjalan di satu server, atau di farm server, seperti sistem di balik penyeimbangan beban jaringan atau server Layanan Informasi Internet (IIS). Setelah Anda mengonfigurasi layanan Anda untuk menggunakan perwakilan gMSA, manajemen kata sandi akun ditangani oleh sistem operasi (OS) Windows.
Manfaat gMSA
gMSA adalah solusi identitas dengan keamanan yang lebih besar yang membantu mengurangi overhead administratif:
- Atur kata sandi yang kuat - 240 byte, kata sandi yang dihasilkan secara acak: kompleksitas dan panjang kata sandi gMSA meminimalkan kemungkinan kompromi oleh serangan brute force atau kamus
- Kata sandi siklus secara teratur - manajemen kata sandi masuk ke OS Windows, yang mengubah kata sandi setiap 30 hari. Administrator layanan dan domain tidak perlu menjadwalkan perubahan kata sandi, atau mengelola pemadaman layanan.
- Mendukung penyebaran ke farm server - menyebarkan gMSA ke beberapa server untuk mendukung solusi seimbang beban di mana beberapa host menjalankan layanan yang sama
- Mendukung manajemen nama prinsipal layanan (SPN) yang disederhanakan - siapkan SPN dengan PowerShell, saat Anda membuat akun.
- Selain itu, layanan yang mendukung pendaftaran SPN otomatis mungkin melakukannya terhadap gMSA, jika izin gMSA diatur dengan benar.
Menggunakan gMSA
Gunakan gMSA sebagai jenis akun untuk layanan lokal kecuali layanan, seperti pengklusteran failover, tidak mendukungnya.
Penting
Uji layanan Anda dengan gMSA sebelum masuk ke produksi. Siapkan lingkungan pengujian untuk memastikan aplikasi menggunakan gMSA, lalu akses sumber daya. Untuk informasi selengkapnya, lihat Dukungan untuk akun layanan terkelola grup.
Jika layanan tidak mendukung gMSA, Anda dapat menggunakan akun layanan terkelola mandiri (sMSA). SMSA memiliki fungsionalitas yang sama, tetapi ditujukan untuk penyebaran pada satu server.
Jika Anda tidak dapat menggunakan gMSA atau sMSA yang didukung oleh layanan Anda, konfigurasikan layanan untuk dijalankan sebagai akun pengguna standar. Administrator layanan dan domain diperlukan untuk mengamati proses manajemen kata sandi yang kuat untuk membantu agar akun tetap aman.
Menilai postur keamanan gMSA
gMSA lebih aman daripada akun pengguna standar, yang memerlukan manajemen kata sandi yang sedang berlangsung. Namun, pertimbangkan cakupan akses gMSA sehubungan dengan postur keamanan. Masalah dan mitigasi keamanan yang berpotensi karena menggunakan gMSA ditampilkan pada tabel berikut:
| Masalah keamanan | Mitigasi |
|---|---|
| gMSA adalah anggota grup istimewa | - Tinjau keanggotaan grup Anda. Buat skrip PowerShell untuk menghitung keanggotaan grup. Filter file CSV yang dihasilkan berdasarkan nama file gMSA - Hapus gMSA dari grup istimewa - Berikan hak dan izin gMSA yang diperlukan untuk menjalankan layanannya. Lihat vendor layanan Anda. |
| gMSA memiliki akses baca/tulis ke sumber daya sensitif | - Akses audit ke sumber daya sensitif - Mengarsipkan log audit ke SIEM, seperti Azure Log Analytics atau Microsoft Sentinel - Menghapus izin sumber daya yang tidak perlu jika ada tingkat akses yang tidak perlu |
Menemukan gMSA
Kontainer Akun Layanan Terkelola
Agar berfungsi secara efektif, gMSA harus berada dalam kontainer Akun Layanan Terkelola di Pengguna Direktori Aktif dan Komputer.
Untuk menemukan MSA layanan yang tidak ada dalam daftar, jalankan perintah berikut:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
Mengelola gMSA
Untuk mengelola gMSA, gunakan cmdlet PowerShell Direktori Aktif berikut:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Catatan
Di Windows Server 2012, dan versi yang lebih baru, cmdlet *-ADServiceAccount berfungsi dengan gMSA. Pelajari selengkapnya: Mulai menggunakan akun layanan terkelola grup.
Berpindah ke gMSA
gMSA adalah jenis akun layanan yang aman untuk lokal. Disarankan agar Anda menggunakan gMSA, jika memungkinkan. Selain itu, pertimbangkan untuk memindahkan layanan Anda ke Azure dan akun layanan Anda ke ID Microsoft Entra.
Catatan
Sebelum Anda mengonfigurasi layanan untuk menggunakan gMSA, lihat Mulai menggunakan akun layanan terkelola grup.
Untuk pindah ke gMSA:
- Pastikan kunci akar Key Distribution Service (KDS) disebarkan di forest. Ini adalah operasi satu kali. Lihat, Membuat Kunci Akar KDS Layanan Distribusi Utama.
- Buat gMSA baru. Lihat, Mulai menggunakan Akun Layanan Terkelola Grup.
- Instal gMSA baru pada host yang menjalankan layanan.
- Ubah identitas layanan Anda menjadi gMSA.
- Tentukan kata sandi kosong.
- Validasi layanan Anda berfungsi di bawah identitas gMSA baru.
- Hapus identitas akun layanan lama.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang mengamankan akun layanan, lihat artikel berikut ini:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk