Contas de serviço gerenciadas autônomas seguras
Contas de serviço gerenciadas autônomas (sMSAs) são contas de domínio gerenciadas que ajudam a proteger serviços executados em um servidor. Eles não podem ser reutilizados em vários servidores. Os sMSAs têm gerenciamento automático de senhas, gerenciamento simplificado de SPN (nome principal de serviço) e gerenciamento delegado a administradores.
No Ative Directory (AD), os sMSAs estão vinculados a um servidor que executa um serviço. Pode encontrar contas no snap-in Utilizadores e Computadores do Ative Directory na Consola de Gestão da Microsoft.
Nota
As contas de serviço gerenciado foram introduzidas no esquema do Ative Directory do Windows Server 2008 R2 e exigem o Windows Server 2008 R2 ou uma versão posterior.
Benefícios do sMSA
Os sMSAs têm maior segurança do que as contas de usuário usadas como contas de serviço. Ajudam a reduzir as despesas gerais administrativas:
- Definir senhas fortes - sMSAs usam senhas complexas de 240 bytes, geradas aleatoriamente
- A complexidade minimiza a probabilidade de comprometimento por força bruta ou ataques de dicionário
- Alterne senhas regularmente - O Windows altera a senha sMSA a cada 30 dias.
- Os administradores de serviço e domínio não precisam agendar alterações de senha ou gerenciar o tempo de inatividade associado
- Simplifique o gerenciamento de SPN - os SPNs são atualizados se o nível funcional do domínio for o Windows Server 2008 R2. O SPN é atualizado quando você:
- Renomear a conta do computador host
- Alterar o nome do servidor de nomes de domínio (DNS) do computador host
- Usar o PowerShell para adicionar ou remover outros parâmetros sam-accountname ou dns-hostname
- Veja, Set-ADServiceAccount
Usando sMSAs
Use sMSAs para simplificar tarefas de gerenciamento e segurança. sMSAs são úteis quando os serviços são implantados em um servidor e você não pode usar uma conta de serviço gerenciado de grupo (gMSA).
Nota
Você pode usar sMSAs para mais de um serviço, mas é recomendável que cada serviço tenha uma identidade para auditoria.
Se o criador do software não puder dizer se o aplicativo usa um MSA, teste o aplicativo. Crie um ambiente de teste e garanta que ele acesse os recursos necessários.
Saiba mais: Contas de serviço gerenciado: compreensão, implementação, práticas recomendadas e solução de problemas
Avaliar a postura de segurança do sMSA
Considere o escopo de acesso do sMSA como parte da postura de segurança. Para mitigar possíveis problemas de segurança, consulte a tabela a seguir:
Questão de segurança | Mitigação |
---|---|
sMSA é membro de grupos privilegiados | - Remover o sMSA de grupos privilegiados elevados, como administradores de domínio - Utilizar o modelo menos privilegiado - Conceder ao sMSA direitos e permissões para executar seus serviços - Se você não tiver certeza sobre permissões, consulte o criador do serviço |
O sMSA tem acesso de leitura/gravação a recursos confidenciais | - Auditar o acesso a recursos sensíveis - Arquivar logs de auditoria em um programa de gerenciamento de eventos e informações de segurança (SIEM), como o Azure Log Analytics ou o Microsoft Sentinel - Corrigir permissões de recursos se um acesso indesejável for detetado |
Por padrão, a frequência de substituição de senha sMSA é de 30 dias | Use a política de grupo para ajustar a duração, dependendo dos requisitos de segurança da empresa. Para definir a duração da expiração da senha, vá para: Políticas de Configuração do>>Computador, Configurações do Windows,>Configurações>de Segurança, Opções de Segurança. Para membros do domínio, use a idade máxima da senha da conta da máquina. |
Desafios do sMSA
Use a tabela a seguir para associar desafios a atenuações.
Desafio | Mitigação |
---|---|
sMSAs estão em um único servidor | Usar um gMSA para usar a conta entre servidores |
sMSAs não podem ser usados entre domínios | Usar um gMSA para usar a conta entre domínios |
Nem todas as aplicações suportam sMSAs | Use um gMSA, se possível. Caso contrário, use uma conta de usuário padrão ou uma conta de computador, conforme recomendado pelo criador |
Encontrar sMSAs
Em um controlador de domínio, execute DSA.msc e expanda o contêiner de contas de serviço gerenciado para exibir todos os sMSAs.
Para retornar todos os sMSAs e gMSAs no domínio do Ative Directory, execute o seguinte comando do PowerShell:
Get-ADServiceAccount -Filter *
Para retornar sMSAs no domínio do Ative Directory, execute o seguinte comando:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Gerenciar sMSAs
Para gerenciar seus sMSAs, você pode usar os seguintes cmdlets do AD PowerShell:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Mover para sMSAs
Se um serviço de aplicativo oferecer suporte a sMSAs, mas não a gMSAs, e você estiver usando uma conta de usuário ou de computador para o contexto de segurança, consulte
Contas de serviço gerenciado: compreensão, implementação, práticas recomendadas e solução de problemas.
Se possível, mova recursos para o Azure e use identidades gerenciadas do Azure ou entidades de serviço.
Próximos passos
Para saber mais sobre como proteger contas de serviço, consulte: