Account del servizio gestito autonomo sicuro
Gli account autonomi del servizio gestito (sMSA) sono account di dominio gestito che consentono di proteggere i servizi in esecuzione in un server. Non possono essere riutilizzati in più server. Gli account autonomi del servizio gestito hanno la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la gestione delegata agli amministratori.
In Active Directory (AD) gli account del servizio gestito sono associati a un server che esegue un servizio. È possibile trovare gli account nello snap-in Utenti e computer di Active Directory in Microsoft Management Console.
Nota
Gli account del servizio gestito sono stati introdotti nello schema di Active Directory di Windows Server 2008 R2 e richiedono Windows Server 2008 R2 o una versione successiva.
Vantaggi degli account autonomi del servizio gestito
Gli account autonomi del servizio gestito hanno una sicurezza maggiore rispetto agli account utente usati come account di servizio. Consentono di ridurre il sovraccarico amministrativo:
- Impostare password complesse: gli account del servizio gestito usano password complesse da 240 byte generate in modo casuale
- La complessità riduce al minimo la probabilità di compromissione a seguito di attacchi di forza bruta o con dizionari
- Cambiare le password regolarmente - Windows modifica la password sMSA ogni 30 giorni.
- Gli amministratori del servizio e del dominio non devono pianificare le modifiche delle password o gestire il tempo di inattività associato
- Semplificare la gestione SPN: i nomi dell'entità servizio (SPN) vengono aggiornati se il livello di funzionalità del dominio è Windows Server 2008 R2. L'SPN viene aggiornato quando:
- viene rinominato l'account computer host
- viene modificato il nome DNS (Domain Name Server) del computer host
- viene usato PowerShell per aggiungere o rimuovere altri parametri sam-accountname o dns-hostname
- See, Set-ADServiceAccount
Uso degli account autonomi del servizio gestito (sMSA)
Usare gli account autonomi del servizio gestito per semplificare le attività di gestione e sicurezza. Gli account autonomi del servizio gestito del gruppo sono utili quando i servizi vengono distribuiti in un server e non è possibile usare un account del servizio gestito del gruppo.
Nota
È possibile usare gli account autonomi del servizio gestito per più di un servizio, ma è consigliabile che ogni servizio abbia un'identità per il controllo.
Se l'autore del software non è in grado di indicare se l'applicazione usa un account del servizio gestito, testare l'applicazione. Creare un ambiente di test e assicurarsi che abbia accesso alle risorse necessarie.
Altre informazioni: Account del servizio gestito: informazioni, implementazione, procedure consigliate e risoluzione dei problemi
Valutare il comportamento di sicurezza dell'account autonomo del servizio gestito
Prendere in considerazione l'ambito di accesso sMSA come parte del comportamento di sicurezza. Per attenuare i potenziali problemi di sicurezza, vedere la tabella seguente:
Problema di sicurezza | Strategia di riduzione del rischio |
---|---|
sMSA è un membro dei gruppi con privilegi | - Rimuovere l'account del servizio gestito (sMSA) da gruppi con privilegi elevati, ad esempio Domain Admins - Usare il modello con privilegi minimi - Concedere i diritti e le autorizzazioni sMSA per l'esecuzione dei servizi - Se non si è certi delle autorizzazioni, consultare l'autore del servizio |
sMSA ha accesso in lettura/scrittura alle risorse sensibili | - Controllare l'accesso alle risorse sensibili - Archiviare i log di controllo in un programma SIEM (Informazioni di sicurezza e gestione degli eventi), ad esempio Azure Log Analytics o Microsoft Sentinel - Correggere le autorizzazioni delle risorse se viene rilevato un accesso indesiderato |
Per impostazione predefinita, la frequenza del rollover password per gli sMSA è di 30 giorni | Usare dei criteri di gruppo per ottimizzare la durata, a seconda dei requisiti di sicurezza aziendali. Per impostare la durata della scadenza della password, passare a: Configurazione computer>Criteri>Impostazioni Windows>Impostazioni di protezione>Opzioni di sicurezza. Per il membro di dominio, usare Validità massima della password dell'account del computer. |
Problemi con gli sMSA
Usare la tabella seguente per associare i problemi alle mitigazioni.
Esercizio | Strategia di riduzione del rischio |
---|---|
Gli sMSA si trovano in un singolo server | Usare un sMSA come l'account tra server |
Gli account autonomi del servizio gestito non possono essere usati tra domini | Usare un account autonomo del servizio gestito come l'account tra domini |
Non tutte le applicazioni supportano gli account autonomi del servizio gestito | Se possibile, usare un gMSA. In caso contrario, usare un account utente standard o un account computer, come consigliato dall'autore |
Trovare gli account autonomi del servizio gestito
In un controller di dominio eseguire il DSA.msc, quindi espandere il contenitore degli account del servizio gestito per visualizzare tutti gli account autonomi del servizio gestito.
Per restituire tutti gli account autonomi del servizio gestito e gli account autonomi del servizio gestito del gruppo nel dominio di Active Directory, eseguire il comando di PowerShell seguente:
Get-ADServiceAccount -Filter *
Per restituire gli account autonomi del servizio gestito nel dominio di Active Directory, eseguire il comando seguente:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Gestire gli account autonomi del servizio gestito
Per gestire gli account autonomi del servizio gestito, è possibile usare i seguenti cmdlet di PowerShell di Active Directory:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Passare agli sMSA
Se un servizio applicazioni supporta sMSA, ma non gMSA e si usa un account utente o un account computer per il contesto di protezione, vedere
Account del servizio gestito: informazioni, implementazione, procedure consigliate e risoluzione dei problemi.
Se possibile, spostare le risorse in Azure e usare identità gestite di Azure o entità servizio.
Passaggi successivi
Per altre informazioni sulla protezione degli account del servizio, vedere: