Защита групповых управляемых учетных записей служб

Учетные записи управляемых служб групп (gMSAs) — это учетные записи домена, которые помогают защитить службы. GMSAs может выполняться на одном сервере или в ферме серверов, таких как системы за балансировкой сетевой нагрузки или сервером службы IIS (IIS). После настройки служб для использования субъекта gMSA управление паролями учетных записей обрабатывается операционной системой Windows (OS).

Преимущества gMSAs

GMSAs — это решение для удостоверений с большей безопасностью, которая помогает сократить административные издержки:

• Установка надежных паролей — 240-байтовые, случайные созданные пароли: сложность и длина паролей gMSA сводит к минимуму вероятность компрометации путем атак подбора или словаря.
• Регулярное управление паролями циклов — управление паролями переходит в ОС Windows, которая изменяет пароль каждые 30 дней. Администраторы служб и доменов не должны планировать изменения паролей или управлять сбоями служб.
• Поддержка развертывания на фермах серверов — развертывание gMSAs на нескольких серверах для поддержки решений с балансировкой нагрузки, в которых несколько узлов выполняют одну и ту же службу.
• Поддержка упрощенного управления именем субъекта-службы ( SPN) — настройка имени субъекта-службы с помощью PowerShell при создании учетной записи.
  • Кроме того, службы, поддерживающие автоматическую регистрацию имени участника-службы, могут сделать это в отношении gMSA, если разрешения gMSA заданы правильно.

Использование gMSAs

Используйте gMSAs в качестве типа учетной записи для локальных служб, если служба, например отказоустойчивая кластеризация, не поддерживает ее.

Внимание

Протестируйте службу с помощью GMSAs, прежде чем она перейдет в рабочую среду. Настройте тестовую среду, чтобы убедиться, что приложение использует gMSA, а затем обращается к ресурсам. Дополнительные сведения см. в разделе Групповые управляемые учетные записи служб

Если служба не поддерживает gMSAs, можно использовать автономную управляемую учетную запись службы (sMSA). SMSA имеет те же функции, но предназначен для развертывания на одном сервере.

Если вы не можете использовать gMSA или sMSA, поддерживаемые службой, настройте службу для запуска в качестве стандартной учетной записи пользователя. Администраторы служб и доменов должны обеспечивать надежные процессы управления паролями, чтобы поддерживать безопасность учетной записи на высоком уровне.

Оценка состояния безопасности gMSA

GMSAs являются более безопасными, чем стандартные учетные записи пользователей, которые требуют постоянного управления паролями. Однако рассмотрим область доступа gMSA относительно состояния безопасности. В следующей таблице показаны потенциальные проблемы безопасности и способы их устранения для использования gMSA.

Проблема безопасности	Исправление
gMSA является членом привилегированных групп	— Проверьте членство в группах. Создайте скрипт PowerShell для перечисления членства в группах. Отфильтруйте результирующий CSV-файл по именам файлов gMSA. Удалите gMSA из привилегированных групп . Предоставьте права и разрешения gMSA, необходимые для запуска службы. Ознакомьтесь с поставщиком услуг.
gMSA имеет доступ на чтение и запись к конфиденциальным ресурсам	— Аудит доступа к конфиденциальным ресурсам — архивирование журналов аудита в SIEM, например Azure Log Analytics или Microsoft Sentinel . Удалите ненужные разрешения ресурсов, если есть ненужный уровень доступа.

Поиск gMSA

Контейнер управляемых учетных записей служб

Для эффективной работы gMSAs должны находиться в контейнере управляемых учетных записей служб в Пользователи и компьютеры Active Directory.

Чтобы найти службы MSAs, не входящих в список, выполните следующие команды:

Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Управление gMSA

Чтобы управлять gMSAs, используйте следующие командлеты PowerShell Active Directory:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Примечание.

В Windows Server 2012 и более поздних версиях командлеты *-ADServiceAccount работают с gMSAs. Дополнительные сведения. Начало работы с управляемыми группами учетными записями служб.

Переход к gMSA

GMSAs — это тип учетной записи безопасной службы для локальной среды. По возможности рекомендуется использовать gMSAs. Кроме того, рассмотрите возможность перемещения служб в Azure и учетных записей служб в идентификатор Microsoft Entra.

Примечание.

Прежде чем настроить службу для использования gMSA, ознакомьтесь с учетными записями управляемых групп.

Чтобы перейти к gMSA, выполните приведенные действия.

1. Убедитесь, что корневой ключ службы распространения ключей (KDS) развертывается в лесу. Выполнить данную операцию достаточно всего один раз. См. раздел "Создание корневого ключа KDS служб распространения ключей".
2. Создание нового gMSA. См. статью "Начало работы с управляемыми группами учетных записей служб".
3. Установите новую gMSA на узлах, на которые выполняется служба.
4. Измените удостоверение службы на gMSA.
5. Укажите пустой пароль.
6. Убедитесь, что служба работает под новым удостоверением gMSA.
7. Удалите старое удостоверение учетной записи службы.

Следующие шаги

Дополнительные сведения о защите учетных записей служб см. в следующих статьях:

• Общие сведения о локальных учетных записях служб
• Защита изолированных управляемых учетных записей служб
• Защита учетных записей компьютеров с помощью Active Directory
• Защита учетных записей служб на основе пользователей в Active Directory
• Управление локальными учетными записями служб