Akun layanan terkelola mandiri yang aman
Akun layanan terkelola mandiri (sMSA) adalah akun domain terkelola yang membantu mengamankan layanan yang berjalan di server. Akun tersebut tidak dapat digunakan kembali di beberapa server. sMSA memiliki manajemen kata sandi otomatis, manajemen nama prinsipal layanan (SPN) yang disederhanakan, dan manajemen yang didelegasikan kepada administrator.
Di Active Directory (AD), sMSA terikat dengan server yang menjalankan layanan. Anda dapat menemukan akun di Snap-in Pengguna direktori aktif dan Komputer di Konsol Manajemen Microsoft.
Catatan
Akun layanan terkelola diperkenalkan di Skema Direktori Aktif Windows Server 2008 R2, dan memerlukan Windows Server 2008 R2, atau versi yang lebih baru.
manfaat sMSA
sMSA memiliki keamanan yang lebih besar daripada akun pengguna yang digunakan sebagai akun layanan. Mereka membantu mengurangi overhead administratif:
- Mengatur kata sandi yang kuat - sMSA menggunakan 240 byte, kata sandi kompleks yang dihasilkan secara acak
- Kompleksitas meminimalkan kemungkinan kompromi oleh serangan brute force atau kamus
- Kata sandi siklus secara teratur - Windows mengubah kata sandi sMSA setiap 30 hari.
- Administrator layanan dan domain tidak perlu menjadwalkan perubahan kata sandi atau mengelola waktu henti terkait
- Sederhanakan manajemen SPN - SPN diperbarui jika tingkat fungsi domain adalah Windows Server 2008 R2. SPN diperbarui saat Anda:
- Mengganti nama akun komputer host
- Mengubah nama server nama domain komputer host (DNS)
- Menggunakan PowerShell untuk menambahkan atau menghapus parameter sam-accountname atau dns-hostname lainnya
- Lihat, Set-ADServiceAccount
Menggunakan sMSA
Gunakan sMSA untuk menyederhanakan tugas manajemen dan keamanan. sMSA berguna saat layanan disebarkan ke server dan Anda tidak dapat menggunakan akun layanan terkelola grup (gMSA).
Catatan
Anda dapat menggunakan sMSA untuk lebih dari satu layanan, tetapi disarankan agar setiap layanan memiliki identitas untuk audit.
Jika pembuat perangkat lunak tidak dapat memberi tahu Anda apakah aplikasi menggunakan MSA, uji aplikasi. Buat lingkungan pengujian dan pastikan lingkungan tersebut mengakses sumber daya yang diperlukan.
Pelajari lebih lanjut: Akun Layanan Terkelola: Memahami, Menerapkan, Praktik Terbaik, dan Pemecahan Masalah
Menilai postur keamanan sMSA
Pertimbangkan cakupan akses sMSA sebagai bagian dari postur keamanan. Untuk mengurangi potensi masalah keamanan, lihat tabel berikut ini:
| Masalah keamanan | Mitigasi |
|---|---|
| sMSA adalah anggota grup istimewa | - Hapus sMSA dari grup istimewa yang ditinggikan, seperti Admin Domain - Gunakan model yang paling tidak istimewa - Berikan hak dan izin sMSA untuk menjalankan layanannya - Jika Anda tidak yakin tentang izin, konsultasikan dengan pembuat layanan |
| sMSA memiliki akses baca/tulis ke sumber daya sensitif | - Akses audit ke sumber daya sensitif - Mengarsipkan log audit ke program informasi keamanan dan manajemen peristiwa (SIEM), seperti Azure Log Analytics atau Microsoft Sentinel - Memulihkan izin sumber daya jika akses yang tidak diinginkan terdeteksi |
| Secara default, frekuensi rollover kata sandi sMSA adalah 30 hari | Gunakan kebijakan grup untuk menyetel durasi, tergantung pada persyaratan keamanan perusahaan. Untuk mengatur durasi kedaluwarsa kata sandi, buka: Kebijakan>Konfigurasi>Komputer Opsi Keamanan Pengaturan>Keamanan Pengaturan>Keamanan Windows. Untuk anggota domain, gunakan Usia kata sandi akun komputer maksimum. |
tantangan sMSA
Gunakan tabel berikut untuk mengaitkan tantangan dengan mitigasi.
| Latihan | Mitigasi |
|---|---|
| sMSA berada di satu server | Menggunakan gMSA untuk menggunakan akun di seluruh server |
| sMSA tidak dapat digunakan di seluruh domain | Menggunakan gMSA untuk menggunakan akun di seluruh domain |
| Tidak semua aplikasi mendukung sMSA | Gunakan gMSA, jika memungkinkan. Jika tidak, gunakan akun pengguna standar atau akun komputer, seperti yang direkomendasikan oleh pembuat |
Menemukan sMSA
Pada pengendali domain, jalankan DSA.msc, lalu perluas kontainer akun layanan terkelola untuk melihat semua sMSA.
Untuk mengembalikan semua sMSA dan gMSA di domain Active Directory, jalankan perintah PowerShell berikut:
Get-ADServiceAccount -Filter *
Untuk mengembalikan sMSA di domain Direktori Aktif, jalankan perintah berikut:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Mengelola sMSA
Untuk mengelola sMSA, Anda bisa menggunakan cmdlet Ad PowerShell berikut:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Pindah ke sMSA
Jika layanan aplikasi mendukung sMSA, tetapi bukan gMSA, dan Anda menggunakan akun pengguna atau akun komputer untuk konteks keamanan, lihat
Akun Layanan Terkelola: Memahami, Menerapkan, Praktik Terbaik, dan Pemecahan Masalah.
Jika memungkinkan, pindahkan sumber daya ke Azure dan gunakan identitas terkelola Azure, atau perwakilan layanan.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang mengamankan akun layanan, lihat: