Beveiligde zelfstandige beheerde serviceaccounts
Zelfstandige beheerde serviceaccounts (sMSA's) zijn beheerde domeinaccounts die helpen bij het beveiligen van services die op een server worden uitgevoerd. Ze kunnen niet opnieuw worden gebruikt op meerdere servers. SMSA's hebben automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) en gedelegeerd beheer aan beheerders.
In Active Directory (AD) zijn sMSA's gekoppeld aan een server waarop een service wordt uitgevoerd. U vindt accounts in de Active Directory module in Microsoft Management Console.
Notitie
Beheerde serviceaccounts zijn geïntroduceerd in Windows Server 2008 R2 Active Directory-schema en ze vereisen Windows Server 2008 R2 of een latere versie.
Voordelen van sMSA
SMSA's hebben meer beveiliging dan gebruikersaccounts die worden gebruikt als serviceaccounts. Ze helpen de administratieve overhead te verminderen:
- Sterke wachtwoorden instellen - sMSA's gebruiken 240 byte, willekeurig gegenereerde complexe wachtwoorden
- De complexiteit minimaliseert de kans op inbreuk door beveiligingsaanvallen of woordenlijstaanvallen
- Cyclus wachtwoorden regelmatig - Windows wijzigt het sMSA-wachtwoord elke 30 dagen.
- Service- en domeinbeheerders hoeven geen wachtwoordwijzigingen te plannen of de bijbehorende downtime te beheren
- SPN-beheer vereenvoudigen: SPN's worden bijgewerkt als het functionele domeinniveau Windows Server 2008 R2 is. De SPN wordt bijgewerkt wanneer u:
- De naam van het hostcomputeraccount wijzigen
- De DNS-naam (Domain Name Server) van de hostcomputer wijzigen
- PowerShell gebruiken om andere parameters voor sam-accountname of dns-hostname toe te voegen of te verwijderen
- Zie, Set-ADServiceAccount
SMSA's gebruiken
Gebruik sMSA's om beheer- en beveiligingstaken te vereenvoudigen. sMSA's zijn handig wanneer services worden geïmplementeerd op een server en u kunt geen door een groep beheerd serviceaccount (gMSA) gebruiken.
Notitie
U kunt SMSA's gebruiken voor meer dan één service, maar het wordt aanbevolen dat elke service een identiteit heeft voor controle.
Als de softwaremaker u niet kan vertellen of de toepassing een MSA gebruikt, test u de toepassing. Maak een testomgeving en zorg ervoor dat deze toegang heeft tot de vereiste resources.
Meer informatie: Beheerde serviceaccounts: Inzicht in, implementatie, aanbevolen procedures en probleemoplossing
SMSA-beveiligingspostuur beoordelen
Houd rekening met het sMSA-toegangsbereik als onderdeel van het beveiligingspostuur. Raadpleeg de volgende tabel om mogelijke beveiligingsproblemen te beperken:
Beveiligingsprobleem | Oplossing |
---|---|
sMSA is lid van bevoorrechte groepen | - Verwijder de sMSA uit groepen met verhoogde bevoegdheden, zoals domeinadministratoren - Gebruik het model met minimale bevoegdheden - Ververleent u de sMSA-rechten en -machtigingen om de services uit te voeren - Als u niet zeker weet wat machtigingen zijn, raadpleegt u de maker van de service |
sMSA heeft lees-/schrijftoegang tot gevoelige resources | - Toegang tot gevoelige resources controleren - Auditlogboeken archiveren in een SIEM-programma (Security Information and Event Management), zoals Azure Log Analytics of Microsoft Sentinel - Resourcemachtigingen herstellen als een ongewenste toegang wordt gedetecteerd |
Standaard is de frequentie voor het terugdraaien van sMSA-wachtwoorden 30 dagen | Gebruik groepsbeleid om de duur af te stemmen, afhankelijk van de beveiligingsvereisten voor ondernemingen. Als u de verloopduur van het wachtwoord wilt instellen, gaat u naar: Beveiligingsopties voor beveiligingsinstellingen voor Windows-instellingen voor computerconfiguratiebeleid>>.>> Voor de leden van het domein gebruikt u Maximale computeraccount wachtwoordduur. |
sMSA-uitdagingen
Gebruik de volgende tabel om uitdagingen te koppelen aan oplossingen.
Uitdaging | Oplossing |
---|---|
SMSA's bevinden zich op één server | Een gMSA gebruiken om het account op meerdere servers te gebruiken |
SMSA's kunnen niet worden gebruikt tussen domeinen | Een gMSA gebruiken om het account tussen domeinen te gebruiken |
Niet alle toepassingen ondersteunen sMSA's | Gebruik indien mogelijk een gMSA. Gebruik anders een standaardgebruikersaccount of een computeraccount, zoals aanbevolen door de maker |
SMSA's zoeken
Voer op een domeincontroller DSA.msc uit en vouw vervolgens de container met beheerde serviceaccounts uit om alle SMSA's weer te geven.
Als u alle sMSAs en gMSA's in het Active Directory-domein wilt retourneren, voert u de volgende PowerShell-opdracht uit:
Get-ADServiceAccount -Filter *
Als u sMSA's wilt retourneren in het Active Directory-domein, voert u de volgende opdracht uit:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
SMSA's beheren
Als u uw SMSA's wilt beheren, kunt u de volgende AD PowerShell-cmdlets gebruiken:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Verplaatsen naar sMSA's
Als een toepassingsservice sMSA's ondersteunt, maar niet gMSA's en u een gebruikersaccount of computeraccount gebruikt voor de beveiligingscontext, raadpleegt
u Beheerde serviceaccounts: Begrijpen, Implementeren, Aanbevolen procedures en Probleemoplossing.
Verplaats, indien mogelijk, resources naar Azure en gebruik beheerde identiteiten of service-principals van Azure.
Volgende stappen
Zie voor meer informatie over het beveiligen van serviceaccounts: