Condividi tramite


Account del servizio gestito autonomo sicuro

Gli account autonomi del servizio gestito (sMSA) sono account di dominio gestito che consentono di proteggere i servizi in esecuzione in un server. Non possono essere riutilizzati in più server. Gli account autonomi del servizio gestito hanno la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la gestione delegata agli amministratori.

In Active Directory (AD) gli account del servizio gestito sono associati a un server che esegue un servizio. È possibile trovare gli account nello snap-in Utenti e computer di Active Directory in Microsoft Management Console.

Nota

Gli account del servizio gestito sono stati introdotti nello schema di Active Directory di Windows Server 2008 R2 e richiedono Windows Server 2008 R2 o una versione successiva.

Vantaggi degli account autonomi del servizio gestito

Gli account autonomi del servizio gestito hanno una sicurezza maggiore rispetto agli account utente usati come account di servizio. Consentono di ridurre il sovraccarico amministrativo:

  • Impostare password complesse: gli account del servizio gestito usano password complesse da 240 byte generate in modo casuale
    • La complessità riduce al minimo la probabilità di compromissione a seguito di attacchi di forza bruta o con dizionari
  • Cambiare le password regolarmente - Windows modifica la password sMSA ogni 30 giorni.
    • Gli amministratori del servizio e del dominio non devono pianificare le modifiche delle password o gestire il tempo di inattività associato
  • Semplificare la gestione SPN: i nomi dell'entità servizio (SPN) vengono aggiornati se il livello di funzionalità del dominio è Windows Server 2008 R2. L'SPN viene aggiornato quando:
    • viene rinominato l'account computer host
    • viene modificato il nome DNS (Domain Name Server) del computer host
    • viene usato PowerShell per aggiungere o rimuovere altri parametri sam-accountname o dns-hostname
    • See, Set-ADServiceAccount

Uso degli account autonomi del servizio gestito (sMSA)

Usare gli account autonomi del servizio gestito per semplificare le attività di gestione e sicurezza. Gli account autonomi del servizio gestito del gruppo sono utili quando i servizi vengono distribuiti in un server e non è possibile usare un account del servizio gestito del gruppo.

Nota

È possibile usare gli account autonomi del servizio gestito per più di un servizio, ma è consigliabile che ogni servizio abbia un'identità per il controllo.

Se l'autore del software non è in grado di indicare se l'applicazione usa un account del servizio gestito, testare l'applicazione. Creare un ambiente di test e assicurarsi che abbia accesso alle risorse necessarie.

Altre informazioni: Account del servizio gestito: informazioni, implementazione, procedure consigliate e risoluzione dei problemi

Valutare il comportamento di sicurezza dell'account autonomo del servizio gestito

Prendere in considerazione l'ambito di accesso sMSA come parte del comportamento di sicurezza. Per attenuare i potenziali problemi di sicurezza, vedere la tabella seguente:

Problema di sicurezza Strategia di riduzione del rischio
sMSA è un membro dei gruppi con privilegi - Rimuovere l'account del servizio gestito (sMSA) da gruppi con privilegi elevati, ad esempio Domain Admins
- Usare il modello con privilegi minimi
- Concedere i diritti e le autorizzazioni sMSA per l'esecuzione dei servizi
- Se non si è certi delle autorizzazioni, consultare l'autore del servizio
sMSA ha accesso in lettura/scrittura alle risorse sensibili - Controllare l'accesso alle risorse sensibili
- Archiviare i log di controllo in un programma SIEM (Informazioni di sicurezza e gestione degli eventi), ad esempio Azure Log Analytics o Microsoft Sentinel
- Correggere le autorizzazioni delle risorse se viene rilevato un accesso indesiderato
Per impostazione predefinita, la frequenza del rollover password per gli sMSA è di 30 giorni Usare dei criteri di gruppo per ottimizzare la durata, a seconda dei requisiti di sicurezza aziendali. Per impostare la durata della scadenza della password, passare a:
Configurazione computer>Criteri>Impostazioni Windows>Impostazioni di protezione>Opzioni di sicurezza. Per il membro di dominio, usare Validità massima della password dell'account del computer.

Problemi con gli sMSA

Usare la tabella seguente per associare i problemi alle mitigazioni.

Esercizio Strategia di riduzione del rischio
Gli sMSA si trovano in un singolo server Usare un sMSA come l'account tra server
Gli account autonomi del servizio gestito non possono essere usati tra domini Usare un account autonomo del servizio gestito come l'account tra domini
Non tutte le applicazioni supportano gli account autonomi del servizio gestito Se possibile, usare un gMSA. In caso contrario, usare un account utente standard o un account computer, come consigliato dall'autore

Trovare gli account autonomi del servizio gestito

In un controller di dominio eseguire il DSA.msc, quindi espandere il contenitore degli account del servizio gestito per visualizzare tutti gli account autonomi del servizio gestito.

Per restituire tutti gli account autonomi del servizio gestito e gli account autonomi del servizio gestito del gruppo nel dominio di Active Directory, eseguire il comando di PowerShell seguente:

Get-ADServiceAccount -Filter *

Per restituire gli account autonomi del servizio gestito nel dominio di Active Directory, eseguire il comando seguente:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Gestire gli account autonomi del servizio gestito

Per gestire gli account autonomi del servizio gestito, è possibile usare i seguenti cmdlet di PowerShell di Active Directory:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Passare agli sMSA

Se un servizio applicazioni supporta sMSA, ma non gMSA e si usa un account utente o un account computer per il contesto di protezione, vedere
Account del servizio gestito: informazioni, implementazione, procedure consigliate e risoluzione dei problemi.

Se possibile, spostare le risorse in Azure e usare identità gestite di Azure o entità servizio.

Passaggi successivi

Per altre informazioni sulla protezione degli account del servizio, vedere: