Proteger contas de serviços gerenciadas por grupo

As contas de serviços gerenciadas por grupo (gMSAs) são contas de domínio que ajudam a proteger os serviços. As gMSAs podem ser executadas em um servidor ou em um farm de servidores, como sistemas atrás de um servidor de balanceamento de carga de rede ou de Serviços de Informações da Internet (IIS). Depois de configurar seus serviços para usar uma entidade de gMSA, o gerenciamento de senhas da conta é feito pelo sistema operacional (SO) Windows.

Benefícios das gMSAs

As gMSAs são uma solução de identidade com maior segurança que ajuda a reduzir a sobrecarga administrativa:

• Definir senhas fortes – Senhas geradas aleatoriamente com 240 bytes: a complexidade e o comprimento das senhas das gMSAs reduzem a probabilidade de comprometimento por ataques de força bruta ou de dicionário
• Mudam as senhas regularmente – o gerenciamento de senhas vai para o sistema operacional Windows, que altera a senha cada 30 dias. Os administradores de serviço e de domínio não precisam agendar alterações de senha ou gerenciar interrupções de serviço.
• Suporte à implantação em farms de servidores – implante gMSAs em diversos servidores para oferecer suporte a soluções de balanceamento de carga em que diversos hosts executam o mesmo serviço
• Suporte ao gerenciamento simplificado de SPN (nome de entidade de serviço) – configure um SPN com o PowerShell ao criar uma conta.
  • Além disso, os serviços que oferecem suporte a registros automáticos de SPN podem oferecer essa funcionalidade às gMSAs, desde que as permissões das gMSAs estejam definidas corretamente.

Usando gMSAs

Use as gMSAs como o tipo de conta para serviços locais, a menos que um serviço, como clustering de failover, não ofereça suporte a elas.

Importante

Teste seu serviço com gMSAs antes de ir para a produção. Configure um ambiente de teste para garantir que o aplicativo use a gMSA e acesse os recursos. Para obter mais informações, consulte Suporte para contas de serviço gerenciadas por grupo.

Se um serviço não for compatível com o uso de gMSAs, você poderá usar uma conta de serviço gerenciada de forma autônoma (sMSA). A sMSA tem a mesma funcionalidade, mas destina-se à implantação somente em um único servidor.

Se não for possível usar uma gMSA ou uma sMSA compatível com seu serviço, configure-o para ser executado como uma conta de usuário padrão. Os administradores de serviço e domínio devem adotar processos sólidos de gerenciamento de senha para manter essas contas seguras.

Avaliar a postura de segurança da gMSA

As gMSAs são mais seguras do que as contas de usuário padrão, que exigem o gerenciamento de senhas em andamento. No entanto, considere o escopo de acesso da gMSA em relação à postura de segurança. Possíveis problemas de segurança e mitigações para o uso de gMSAs são mostrados na tabela a seguir:

Problema de segurança	Atenuação
A gMSA é um membro de grupos com privilégios	– Analise suas associações de grupo. Crie um script do PowerShell para enumerar as associações de grupo. Filtre o arquivo CSV resultante por nomes de arquivo gMSA – Remova o gMSA de grupos privilegiados – Conceda os direitos e permissões gMSA necessários para executar o serviço. Consulte seu fornecedor de serviços.
A gMSA tem acesso de leitura/gravação a recursos confidenciais	– Audite o acesso aos recursos confidenciais – Arquive logs de auditoria em um SIEM, como o Azure Log Analitics ou o Microsoft Sentinel – Remova permissões de recurso desnecessários se houver um nível de acesso desnecessário

Localizar as gMSAs

Contêiner de Contas de Serviço Gerenciado

Para funcionar de forma eficaz, as gMSAs devem estar no contêiner das Contas de Serviço Gerenciado, em Usuários e Computadores do Active Directory.

Para localizar MSAs de serviço que não estão na lista, execute os seguintes comandos:

Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Gerenciar gMSAs

Para gerenciar suas gMSAs, use os seguintes cmdlets do PowerShell para Active Directory:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Observação

No Windows Server 2012 e versões posteriores, os cmdlets *-ADServiceAccount funcionam com as gMSAs. Saiba mais: Introdução às contas de serviço gerenciado por grupo.

Migrar para uma gMSA

As GMSAs são um tipo de conta de serviço seguro para o local. É recomendável usar gMSAs, se possível. Além disso, considere mover seus serviços para o Azure e suas contas de serviço para o Microsoft Entra ID.

Observação

Antes de configurar seu serviço para usar a gMSA, confira a Introdução às contas de serviço gerenciadas por grupo.

Para migrar para uma gMSA:

1. Verifique se a chave raiz do serviço de distribuição de chaves (KDS) está implantada na floresta. Essa operação é realizada uma única vez. Confira Criar a chave raiz do KDS (Serviços de distribuição de chave)
2. Crie uma nova gMSA. Confira Introdução às contas de serviço gerenciado de grupo.
3. Instale a nova gMSA nos hosts que executam o serviço.
4. Altere sua identidade de serviço para gMSA.
5. Especifique uma senha em branco.
6. Verifique se o serviço está funcionando com a nova identidade de gMSA.
7. Exclua a identidade de conta de serviço antiga.

Próximas etapas

Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos:

• Introdução a contas de serviço locais
• Proteger contas de serviços gerenciados autônomas
• Proteger contas de computador com o Active Directory
• Proteger contas de serviço baseadas em usuário no Active Directory
• Administrar contas de serviço locais