Partilhar via


Contas de serviço gerenciadas autônomas seguras

Contas de serviço gerenciadas autônomas (sMSAs) são contas de domínio gerenciadas que ajudam a proteger serviços executados em um servidor. Eles não podem ser reutilizados em vários servidores. Os sMSAs têm gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome principal de serviço) e gerenciamento delegado a administradores.

No Ative Directory (AD), os sMSAs estão vinculados a um servidor que executa um serviço. Pode encontrar contas no snap-in Utilizadores e Computadores do Ative Directory na Consola de Gestão da Microsoft.

Nota

As contas de serviço gerenciado foram introduzidas no esquema do Ative Directory do Windows Server 2008 R2 e exigem o Windows Server 2008 R2 ou uma versão posterior.

Benefícios do sMSA

Os sMSAs têm maior segurança do que as contas de usuário usadas como contas de serviço. Ajudam a reduzir as despesas gerais administrativas:

  • Definir senhas fortes - sMSAs usam senhas complexas de 240 bytes, geradas aleatoriamente
    • A complexidade minimiza a probabilidade de comprometimento por força bruta ou ataques de dicionário
  • Alterne senhas regularmente - O Windows altera a senha sMSA a cada 30 dias.
    • Os administradores de serviço e domínio não precisam agendar alterações de senha ou gerenciar o tempo de inatividade associado
  • Simplifique o gerenciamento de SPN - os SPNs são atualizados se o nível funcional do domínio for o Windows Server 2008 R2. O SPN é atualizado quando você:
    • Renomear a conta do computador host
    • Alterar o nome do servidor de nomes de domínio (DNS) do computador host
    • Usar o PowerShell para adicionar ou remover outros parâmetros sam-accountname ou dns-hostname
    • Veja, Set-ADServiceAccount

Usando sMSAs

Use sMSAs para simplificar tarefas de gerenciamento e segurança. sMSAs são úteis quando os serviços são implantados em um servidor e você não pode usar uma conta de serviço gerenciado de grupo (gMSA).

Nota

Você pode usar sMSAs para mais de um serviço, mas é recomendável que cada serviço tenha uma identidade para auditoria.

Se o criador do software não puder dizer se o aplicativo usa um MSA, teste o aplicativo. Crie um ambiente de teste e garanta que ele acesse os recursos necessários.

Saiba mais: Contas de serviço gerenciado: compreensão, implementação, práticas recomendadas e solução de problemas

Avaliar a postura de segurança do sMSA

Considere o escopo de acesso do sMSA como parte da postura de segurança. Para mitigar possíveis problemas de segurança, consulte a tabela a seguir:

Questão de segurança Mitigação
sMSA é membro de grupos privilegiados - Remover o sMSA de grupos privilegiados elevados, como administradores de
domínio - Utilizar o modelo
menos privilegiado - Conceder ao sMSA direitos e permissões para executar seus serviços
- Se você não tiver certeza sobre permissões, consulte o criador do serviço
O sMSA tem acesso de leitura/gravação a recursos confidenciais - Auditar o acesso a recursos
sensíveis - Arquivar logs de auditoria em um programa de gerenciamento de eventos e informações de segurança (SIEM), como o Azure Log Analytics ou o Microsoft Sentinel
- Corrigir permissões de recursos se um acesso indesejável for detetado
Por padrão, a frequência de substituição de senha sMSA é de 30 dias Use a política de grupo para ajustar a duração, dependendo dos requisitos de segurança da empresa. Para definir a duração da expiração da senha, vá para:
Políticas de Configuração do>>Computador, Configurações do Windows,>Configurações>de Segurança, Opções de Segurança. Para membros do domínio, use a idade máxima da senha da conta da máquina.

Desafios do sMSA

Use a tabela a seguir para associar desafios a atenuações.

Desafio Mitigação
sMSAs estão em um único servidor Usar um gMSA para usar a conta entre servidores
sMSAs não podem ser usados entre domínios Usar um gMSA para usar a conta entre domínios
Nem todas as aplicações suportam sMSAs Use um gMSA, se possível. Caso contrário, use uma conta de usuário padrão ou uma conta de computador, conforme recomendado pelo criador

Encontrar sMSAs

Em um controlador de domínio, execute DSA.msc e expanda o contêiner de contas de serviço gerenciado para exibir todos os sMSAs.

Para retornar todos os sMSAs e gMSAs no domínio do Ative Directory, execute o seguinte comando do PowerShell:

Get-ADServiceAccount -Filter *

Para retornar sMSAs no domínio do Ative Directory, execute o seguinte comando:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

Gerenciar sMSAs

Para gerenciar seus sMSAs, você pode usar os seguintes cmdlets do AD PowerShell:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

Mover para sMSAs

Se um serviço de aplicativo oferecer suporte a sMSAs, mas não a gMSAs, e você estiver usando uma conta de usuário ou de computador para o contexto de segurança, consulte
Contas de serviço gerenciado: compreensão, implementação, práticas recomendadas e solução de problemas.

Se possível, mova recursos para o Azure e use identidades gerenciadas do Azure ou entidades de serviço.

Próximos passos

Para saber mais sobre como proteger contas de serviço, consulte: