Udostępnij za pośrednictwem


Zabezpieczanie autonomicznych kont usług zarządzanych

Autonomiczne zarządzane konta usług (sMSA) to zarządzane konta domeny, które ułatwiają zabezpieczanie usług uruchomionych na serwerze. Nie można ich używać ponownie na wielu serwerach. SMSA mają automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) i delegowane zarządzanie administratorami.

W usłudze Active Directory (AD) konta sMSA są powiązane z serwerem z uruchomioną usługą. Konta można znaleźć w przystawce Użytkownicy i komputery usługi Active Directory w programie Microsoft Management Console.

Uwaga

Zarządzane konta usług zostały wprowadzone w schemacie usługi Active Directory systemu Windows Server 2008 R2 i wymagają systemu Windows Server 2008 R2 lub nowszej wersji.

Korzyści z programu sMSA

Konta sMSA mają większe zabezpieczenia niż konta użytkowników używane jako konta usług. Pomagają one zmniejszyć nakład pracy administracyjnej:

  • Ustawianie silnych haseł — sMSA używają 240 bajtów, losowo generowanych złożonych haseł
    • Złożoność minimalizuje prawdopodobieństwo naruszenia przez ataki siłowe lub słownikowe
  • Regularne cykle haseł — system Windows zmienia hasło sMSA co 30 dni.
    • Administratorzy usługi i domeny nie muszą planować zmian haseł ani zarządzać skojarzonym przestojem
  • Upraszczanie zarządzania nazwami SPN — nazwy SPN są aktualizowane, jeśli poziom funkcjonalności domeny to Windows Server 2008 R2. Nazwa SPN jest aktualizowana podczas wykonywania następujących zadań:
    • Zmienianie nazwy konta komputera hosta
    • Zmienianie nazwy serwera nazw domen komputera hosta (DNS)
    • Dodawanie lub usuwanie innych parametrów sam-accountname lub dns-hostname za pomocą programu PowerShell
    • Zobacz Set-ADServiceAccount

Korzystanie z SMSAs

Użyj sMSAs, aby uprościć zadania zarządzania i zabezpieczeń. SMSA są przydatne, gdy usługi są wdrażane na serwerze i nie można użyć konta usługi zarządzanego przez grupę (gMSA).

Uwaga

Można użyć umów sMSA dla więcej niż jednej usługi, ale zaleca się, aby każda usługa ma tożsamość do inspekcji.

Jeśli twórca oprogramowania nie może stwierdzić, czy aplikacja korzysta z msa, przetestuj aplikację. Utwórz środowisko testowe i upewnij się, że uzyskuje dostęp do wymaganych zasobów.

Dowiedz się więcej: Zarządzane konta usług: opis, implementacja, najlepsze rozwiązania i rozwiązywanie problemów

Ocena stanu zabezpieczeń programu sMSA

Należy wziąć pod uwagę zakres dostępu sMSA w ramach stanu zabezpieczeń. Aby rozwiązać potencjalne problemy z zabezpieczeniami, zobacz poniższą tabelę:

Problem z zabezpieczeniami Czynności zapobiegawcze
Program sMSA jest członkiem uprzywilejowanych grup — Usuń program sMSA z grup z podwyższonym poziomem uprawnień, takich jak Administratorzy
domeny — Użyj modelu
z najniższymi uprawnieniami — udziel uprawnień i praw sMSA do uruchamiania swoich usług
— jeśli nie masz pewności co do uprawnień, skontaktuj się z twórcą usługi
Program sMSA ma dostęp do odczytu/zapisu do poufnych zasobów — Inspekcja dostępu do poufnych zasobów
— Archiwizowanie dzienników inspekcji w programie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takim jak Azure Log Analytics lub Microsoft Sentinel
— korygowanie uprawnień zasobów, jeśli wykryto niepożądany dostęp
Domyślnie częstotliwość przerzucania haseł sMSA wynosi 30 dni Użyj zasad grupy, aby dostosować czas trwania w zależności od wymagań dotyczących zabezpieczeń przedsiębiorstwa. Aby ustawić czas wygaśnięcia hasła, przejdź do:
Zasady>konfiguracji>komputera Opcje zabezpieczeń Ustawienia>>systemu Windows. W przypadku elementu członkowskiego domeny użyj opcji Maksymalny wiek hasła konta komputera.

wyzwania dotyczące programu sMSA

Skorzystaj z poniższej tabeli, aby skojarzyć wyzwania z ograniczaniem ryzyka.

Zadanie Czynności zapobiegawcze
Serwery sMSA znajdują się na jednym serwerze Używanie konta zarządzanego przez grupy do korzystania z konta na serwerach
Usługi sMSA nie mogą być używane między domenami Używanie konta między domenami za pomocą konta zarządzanego przez administratora
Nie wszystkie aplikacje obsługują umowy sMSA Jeśli to możliwe, użyj gMSA. W przeciwnym razie użyj konta użytkownika standardowego lub konta komputera, zgodnie z zaleceniami twórcy

Znajdowanie sMSAs

Na kontrolerze domeny uruchom narzędzie DSA.msc, a następnie rozwiń kontener kont usług zarządzanych, aby wyświetlić wszystkie konta sMSA.

Aby zwrócić wszystkie konta sMSA i gMSA w domenie usługi Active Directory, uruchom następujące polecenie programu PowerShell:

Get-ADServiceAccount -Filter *

Aby zwrócić konta sMSA w domenie usługi Active Directory, uruchom następujące polecenie:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Zarządzanie kontami sMSA

Aby zarządzać kontami sMSA, możesz użyć następujących poleceń cmdlet programu AD PowerShell:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Przechodzenie do umów sMSA

Jeśli usługa aplikacji obsługuje konta sMSA, ale nie konta zasad grupy, i używasz konta użytkownika lub komputera dla kontekstu zabezpieczeń, zobacz
Zarządzane konta usług: Informacje, Implementowanie, Najlepsze rozwiązania i Rozwiązywanie problemów.

Jeśli to możliwe, przenieś zasoby na platformę Azure i użyj tożsamości zarządzanych platformy Azure lub jednostek usługi.

Następne kroki

Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz: