Proteger contas de serviços gerenciados autônomos

As sMSAs (contas de serviço gerenciado autônomo) são contas de domínio gerenciadas que ajudam a proteger a execução de serviços em um servidor. Eles não podem ser reutilizados em vários servidores. As sMSAs contam com gerenciamento automático de senhas, gerenciamento de SPN (nome da entidade de serviço) simplificado e gerenciamento delegado a administradores.

No Active Directory (AD), as sMSAs estão vinculadas a um servidor que executa um serviço. Você pode encontrar contas no snap-in de Usuários e computadores do Active Directory no Console de gerenciamento Microsoft.

Observação

As contas de serviço gerenciado foram introduzidas no esquema do Active Directory do Windows Server 2008 R2 e requerem essa ou uma versão posterior do Windows Server.

Benefícios da sMSA

As sMSAs são mais seguras do que as contas de usuário usadas como contas de serviço. Elas ajudam a reduzir a sobrecarga administrativa:

• Definição de senhas fortes: as sMSAs usam senhas complexas geradas aleatoriamente de 240 bytes
  • A complexidade minimiza a probabilidade de comprometimento por ataques de força bruta ou de dicionário
• Reciclagem de senhas regularmente: o Windows altera a senha da sMSA a cada 30 dias.
  • Os administradores de serviço e de domínio não precisam agendar alterações de senha nem gerenciar o tempo de inatividade associado
• Simplificação do gerenciamento de SPN: os SPNs são atualizados se o nível funcional do domínio for o Windows Server 2008 R2. O SPN é atualizado quando você:
  • Renomeia a conta do computador host
  • Altera o nome do DNS (servidor de nomes de domínio) do computador host
  • Usa o PowerShell para adicionar ou remover outros parâmetros sam-accountname ou dns-hostname
  • Confira Set-ADServiceAccount

Como usar sMSAs

Use sMSAs para simplificar as tarefas de gerenciamento e segurança. As sMSAs são úteis quando os serviços estiverem implantados em um único servidor e você não puder usar uma gMSA (conta de serviço gerenciado de grupo).

Observação

Você pode usar sMSAs para mais de um serviço, mas é recomendável que cada serviço tenha uma identidade para auditoria.

Se o criador do software não conseguir informar se o aplicativo usa uma MSA, teste o aplicativo. Crie um ambiente de teste e verifique se ele acessa os recursos necessários.

Saiba mais: Contas de Serviços Gerenciados: compreendendo, implementando, práticas recomendadas e solução de problemas

Avaliar a postura de segurança da sMSA

Considere o escopo de acesso da sMSA como parte da postura de segurança. Para mitigar possíveis problemas de segurança, confira a tabela a seguir:

Problema de segurança	Atenuação
sMSA é um membro de grupos com privilégios	– Remova a sMSA de grupos de privilégio elevado, como Administradores de domínio – Use o modelo com menos privilégios – Conceda à sMSA os direitos e permissões para executar seus serviços – Caso não tenha certeza quanto às permissões, confira o criador do serviço
A sMSA tem acesso de leitura/gravação a recursos confidenciais	– Audite o acesso a recursos confidenciais – Arquive logs de auditoria em um programa SIEM (gerenciamento de eventos e informações de segurança), como o Azure Log Analytics ou o Microsoft Sentinel – Corrija as permissões de recurso se for detectado um acesso indesejável
Por padrão, a frequência de substituição de senha da sMSA é de 30 dias	Use a política de grupo para ajustar a duração, dependendo dos requisitos de segurança da empresa. Para definir a duração da expiração da senha, acesse: Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança>Opções de Segurança. Para membro do domínio, use a duração máxima da senha da conta do computador.

Desafios do sMSA

Use a tabela a seguir para associar os desafios às mitigações.

Desafio	Atenuação
As sMSAs estão em um servidor único	Use uma gMSA para usar a conta entre servidores
As sMSAs não podem ser usadas entre domínios	Use uma gMSA para usar a conta entre domínios
Nem todos os aplicativos dão suporte a sMSAs	Use uma gMSA, se possível. Caso contrário, use uma conta de usuário padrão ou uma conta de computador, conforme recomendado pelo criador

Localizar sMSAs

Em um controlador de domínio, execute DSA.msc, depois expanda o contêiner de contas de serviço gerenciado para exibir todas as sMSAs.

Para retornar todas as sMSAs e os gMSAs no domínio Active Directory, executar o seguinte comando do PowerShell:

Get-ADServiceAccount -Filter *

Para retornar as sMSAs no domínio Active Directory, execute o seguinte comando:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Gerenciar sMSAs

Para gerenciar suas sMSAs, você pode usar os seguintes cmdlets do PowerShell do AD:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Mover para sMSAs

Se um serviço de aplicativo for compatível com sMSAs, mas não com gMSAs, e você estiver usando uma conta de usuário ou de computador para o contexto de segurança, confira
Contas de serviço gerenciadas: noções básicas, implementação, melhores práticas e solução de problemas.

Se possível, mova os recursos para o Azure e use identidades gerenciadas do Azure ou entidades de serviço.

Próximas etapas

Para saber mais sobre como proteger as contas de serviço, confira:

• Protegendo contas de serviço locais
• Proteger contas de serviços gerenciados por grupo
• Proteger contas de computador locais com o AD
• Proteger contas de serviço baseadas em usuário no AD
• Administrar contas de serviço locais