Zabezpieczanie autonomicznych kont usług zarządzanych
Autonomiczne zarządzane konta usług (sMSA) to zarządzane konta domeny, które ułatwiają zabezpieczanie usług uruchomionych na serwerze. Nie można ich używać ponownie na wielu serwerach. SMSA mają automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) i delegowane zarządzanie administratorami.
W usłudze Active Directory (AD) konta sMSA są powiązane z serwerem z uruchomioną usługą. Konta można znaleźć w przystawce Użytkownicy i komputery usługi Active Directory w programie Microsoft Management Console.
Uwaga
Zarządzane konta usług zostały wprowadzone w schemacie usługi Active Directory systemu Windows Server 2008 R2 i wymagają systemu Windows Server 2008 R2 lub nowszej wersji.
Korzyści z programu sMSA
Konta sMSA mają większe zabezpieczenia niż konta użytkowników używane jako konta usług. Pomagają one zmniejszyć nakład pracy administracyjnej:
- Ustawianie silnych haseł — sMSA używają 240 bajtów, losowo generowanych złożonych haseł
- Złożoność minimalizuje prawdopodobieństwo naruszenia przez ataki siłowe lub słownikowe
- Regularne cykle haseł — system Windows zmienia hasło sMSA co 30 dni.
- Administratorzy usługi i domeny nie muszą planować zmian haseł ani zarządzać skojarzonym przestojem
- Upraszczanie zarządzania nazwami SPN — nazwy SPN są aktualizowane, jeśli poziom funkcjonalności domeny to Windows Server 2008 R2. Nazwa SPN jest aktualizowana podczas wykonywania następujących zadań:
Korzystanie z SMSAs
Użyj sMSAs, aby uprościć zadania zarządzania i zabezpieczeń. SMSA są przydatne, gdy usługi są wdrażane na serwerze i nie można użyć konta usługi zarządzanego przez grupę (gMSA).
Uwaga
Można użyć umów sMSA dla więcej niż jednej usługi, ale zaleca się, aby każda usługa ma tożsamość do inspekcji.
Jeśli twórca oprogramowania nie może stwierdzić, czy aplikacja korzysta z msa, przetestuj aplikację. Utwórz środowisko testowe i upewnij się, że uzyskuje dostęp do wymaganych zasobów.
Dowiedz się więcej: Zarządzane konta usług: opis, implementacja, najlepsze rozwiązania i rozwiązywanie problemów
Ocena stanu zabezpieczeń programu sMSA
Należy wziąć pod uwagę zakres dostępu sMSA w ramach stanu zabezpieczeń. Aby rozwiązać potencjalne problemy z zabezpieczeniami, zobacz poniższą tabelę:
Problem z zabezpieczeniami | Czynności zapobiegawcze |
---|---|
Program sMSA jest członkiem uprzywilejowanych grup | — Usuń program sMSA z grup z podwyższonym poziomem uprawnień, takich jak Administratorzy domeny — Użyj modelu z najniższymi uprawnieniami — udziel uprawnień i praw sMSA do uruchamiania swoich usług — jeśli nie masz pewności co do uprawnień, skontaktuj się z twórcą usługi |
Program sMSA ma dostęp do odczytu/zapisu do poufnych zasobów | — Inspekcja dostępu do poufnych zasobów — Archiwizowanie dzienników inspekcji w programie zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takim jak Azure Log Analytics lub Microsoft Sentinel — korygowanie uprawnień zasobów, jeśli wykryto niepożądany dostęp |
Domyślnie częstotliwość przerzucania haseł sMSA wynosi 30 dni | Użyj zasad grupy, aby dostosować czas trwania w zależności od wymagań dotyczących zabezpieczeń przedsiębiorstwa. Aby ustawić czas wygaśnięcia hasła, przejdź do: Zasady>konfiguracji>komputera Opcje zabezpieczeń Ustawienia>>systemu Windows. W przypadku elementu członkowskiego domeny użyj opcji Maksymalny wiek hasła konta komputera. |
wyzwania dotyczące programu sMSA
Skorzystaj z poniższej tabeli, aby skojarzyć wyzwania z ograniczaniem ryzyka.
Zadanie | Czynności zapobiegawcze |
---|---|
Serwery sMSA znajdują się na jednym serwerze | Używanie konta zarządzanego przez grupy do korzystania z konta na serwerach |
Usługi sMSA nie mogą być używane między domenami | Używanie konta między domenami za pomocą konta zarządzanego przez administratora |
Nie wszystkie aplikacje obsługują umowy sMSA | Jeśli to możliwe, użyj gMSA. W przeciwnym razie użyj konta użytkownika standardowego lub konta komputera, zgodnie z zaleceniami twórcy |
Znajdowanie sMSAs
Na kontrolerze domeny uruchom narzędzie DSA.msc, a następnie rozwiń kontener kont usług zarządzanych, aby wyświetlić wszystkie konta sMSA.
Aby zwrócić wszystkie konta sMSA i gMSA w domenie usługi Active Directory, uruchom następujące polecenie programu PowerShell:
Get-ADServiceAccount -Filter *
Aby zwrócić konta sMSA w domenie usługi Active Directory, uruchom następujące polecenie:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Zarządzanie kontami sMSA
Aby zarządzać kontami sMSA, możesz użyć następujących poleceń cmdlet programu AD PowerShell:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Przechodzenie do umów sMSA
Jeśli usługa aplikacji obsługuje konta sMSA, ale nie konta zasad grupy, i używasz konta użytkownika lub komputera dla kontekstu zabezpieczeń, zobacz
Zarządzane konta usług: Informacje, Implementowanie, Najlepsze rozwiązania i Rozwiązywanie problemów.
Jeśli to możliwe, przenieś zasoby na platformę Azure i użyj tożsamości zarządzanych platformy Azure lub jednostek usługi.
Następne kroki
Aby dowiedzieć się więcej na temat zabezpieczania kont usług, zobacz: