Partilhar via


Proteger contas de serviço gerenciadas por grupo

As contas de serviço gerenciado de grupo (gMSAs) são contas de domínio para ajudar a proteger serviços. gMSAs podem ser executados em um servidor ou em um farm de servidores, como sistemas por trás de um balanceamento de carga de rede ou servidor IIS (Serviços de Informações da Internet). Depois de configurar seus serviços para usar uma entidade gMSA, o gerenciamento de senhas de conta é tratado pelo sistema operacional Windows.

Benefícios das gMSAs

Os gMSAs são uma solução de identidade com maior segurança que ajuda a reduzir a sobrecarga administrativa:

  • Defina senhas fortes - senhas geradas aleatoriamente de 240 bytes: a complexidade e o comprimento das senhas gMSA minimizam a probabilidade de comprometimento por força bruta ou ataques de dicionário
  • Alterne senhas regularmente - o gerenciamento de senhas vai para o sistema operacional Windows, que altera a senha a cada 30 dias. Os administradores de serviço e domínio não precisam agendar alterações de senha ou gerenciar interrupções de serviço.
  • Suporte à implantação em farms de servidores - implante gMSAs em vários servidores para oferecer suporte a soluções com balanceamento de carga em que vários hosts executam o mesmo serviço
  • Ofereça suporte ao gerenciamento simplificado de nome da entidade de serviço (SPN) - configure um SPN com o PowerShell ao criar uma conta.
    • Além disso, os serviços que suportam registros SPN automáticos podem fazê-lo em relação ao gMSA, se as permissões do gMSA estiverem definidas corretamente.

Usando gMSAs

Use gMSAs como o tipo de conta para serviços locais, a menos que um serviço, como clustering de failover, não ofereça suporte a ele.

Importante

Teste seu serviço com gMSAs antes de entrar em produção. Configure um ambiente de teste para garantir que o aplicativo use o gMSA e, em seguida, acesse recursos. Para obter mais informações, consulte Suporte para contas de serviço gerenciadas de grupo.

Se um serviço não suportar gMSAs, pode utilizar uma conta de serviço gerida autónoma (sMSA). Um sMSA tem a mesma funcionalidade, mas destina-se à implantação em um único servidor.

Se você não puder usar um gMSA ou sMSA suportado pelo seu serviço, configure o serviço para ser executado como uma conta de usuário padrão. Os administradores de serviço e de domínio são obrigados a observar processos de gerenciamento de senhas fortes para ajudar a manter a conta segura.

Avaliar a postura de segurança do gMSA

Os gMSAs são mais seguros do que as contas de usuário padrão, que exigem gerenciamento contínuo de senhas. No entanto, considere o escopo de acesso do gMSA em relação à postura de segurança. Os possíveis problemas de segurança e atenuações para o uso de gMSAs são mostrados na tabela a seguir:

Questão de segurança Mitigação
gMSA é membro de grupos privilegiados - Revise suas associações de grupo. Crie um script do PowerShell para enumerar associações de grupo. Filtrar o arquivo CSV resultante por nomes
de arquivo gMSA - Remover o gMSA de grupos privilegiados
- Conceder os direitos e permissões do gMSA necessários para executar seu serviço. Consulte o seu fornecedor de serviços.
O gMSA tem acesso de leitura/gravação a recursos confidenciais - Auditar o acesso a recursos
sensíveis - Arquivar logs de auditoria em um SIEM, como o Azure Log Analytics ou o Microsoft Sentinel
- Remova permissões de recursos desnecessárias se houver um nível de acesso desnecessário

Encontrar gMSAs

Contêiner Contas de Serviço Gerenciado

Para funcionar de forma eficaz, os gMSAs devem estar no contêiner Contas de Serviço Gerenciado em Usuários e Computadores do Ative Directory.

Para localizar MSAs de serviço que não estão na lista, execute os seguintes comandos:


Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Gerenciar gMSAs

Para gerenciar gMSAs, use os seguintes cmdlets do PowerShell do Ative Directory:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Nota

No Windows Server 2012 e versões posteriores, os cmdlets *-ADServiceAccount funcionam com gMSAs. Saiba mais: Introdução às contas de serviço gerenciadas em grupo.

Mover para um gMSA

gMSAs são um tipo de conta de serviço segura para locais. Recomenda-se o uso de gMSAs, se possível. Além disso, considere mover seus serviços para o Azure e suas contas de serviço para o Microsoft Entra ID.

Nota

Antes de configurar o serviço para usar o gMSA, consulte Introdução às contas de serviço gerenciadas por grupo.

Para mudar para um gMSA:

  1. Verifique se a chave raiz do Serviço de Distribuição de Chaves (KDS) está implantada na floresta. Trata-se de uma operação única. Consulte Criar a chave raiz do KDS dos Serviços de Distribuição de Chaves.
  2. Crie um novo gMSA. Consulte Introdução às contas de serviço gerenciado de grupo.
  3. Instale o novo gMSA em hosts que executam o serviço.
  4. Altere sua identidade de serviço para gMSA.
  5. Especifique uma senha em branco.
  6. Valide se seu serviço está funcionando sob a nova identidade gMSA.
  7. Exclua a identidade antiga da conta de serviço.

Próximos passos

Para saber mais sobre como proteger contas de serviço, consulte os seguintes artigos: