Skydda grupphanterade tjänstkonton
Grupphanterade tjänstkonton (gMSA) är domänkonton för att skydda tjänster. gMSA kan köras på en server eller i en servergrupp, till exempel system bakom en nätverksbelastningsutjämning eller IIS-server (Internet Information Services). När du har konfigurerat dina tjänster för att använda ett gMSA-huvudnamn hanteras kontolösenordshanteringen av Windows-operativsystemet (OS).
Fördelar med gMSAs
gMSA:er är en identitetslösning med större säkerhet som minskar administrativa kostnader:
- Ange starka lösenord – 240 byte, slumpmässigt genererade lösenord: komplexiteten och längden på gMSA-lösenord minimerar risken för kompromettering av råstyrkeattacker eller ordlisteattacker
- Växla lösenord regelbundet – lösenordshantering går till Windows-operativsystemet, som ändrar lösenordet var 30:e dag. Tjänst- och domänadministratörer behöver inte schemalägga lösenordsändringar eller hantera tjänststopp.
- Stöd för distribution till servergrupper – distribuera gMSA till flera servrar för att stödja belastningsutjämnade lösningar där flera värdar kör samma tjänst
- Stöd för förenklad SPN-hantering (Service Principal Name) – konfigurera ett SPN med PowerShell när du skapar ett konto.
- Dessutom kan tjänster som stöder automatiska SPN-registreringar göra det mot gMSA om gMSA-behörigheterna har angetts korrekt.
Använda gMSAs
Använd gMSA:er som kontotyp för lokala tjänster om inte en tjänst, till exempel redundansklustring, inte stöder den.
Viktigt!
Testa din tjänst med gMSAs innan den går till produktion. Konfigurera en testmiljö för att säkerställa att programmet använder gMSA och sedan kommer åt resurser. Mer information finns i Support för grupphanterade tjänstkonton.
Om en tjänst inte stöder gMSAs kan du använda ett fristående hanterat tjänstkonto (sMSA). En sMSA har samma funktioner, men är avsedd för distribution på en enskild server.
Om du inte kan använda en gMSA eller sMSA som stöds av din tjänst konfigurerar du tjänsten så att den körs som ett standardanvändarkonto. Tjänst- och domänadministratörer måste följa starka processer för lösenordshantering för att skydda kontot.
Utvärdera gMSA-säkerhetsstatus
gMSA:er är säkrare än standardanvändarkonton, vilket kräver kontinuerlig lösenordshantering. Överväg dock gMSA-omfattningen för åtkomst i förhållande till säkerhetsstatus. Potentiella säkerhetsproblem och åtgärder för att använda gMSA:er visas i följande tabell:
Säkerhetsproblem | Riskreducering |
---|---|
gMSA är medlem i privilegierade grupper | – Granska dina gruppmedlemskap. Skapa ett PowerShell-skript för att räkna upp gruppmedlemskap. Filtrera den resulterande CSV-filen efter gMSA-filnamn – Ta bort gMSA från privilegierade grupper – Bevilja de gMSA-rättigheter och behörigheter som krävs för att köra tjänsten. Kontakta din tjänstleverantör. |
gMSA har läs-/skrivåtkomst till känsliga resurser | – Granska åtkomst till känsliga resurser – Arkivera granskningsloggar till en SIEM, till exempel Azure Log Analytics eller Microsoft Sentinel – Ta bort onödiga resursbehörigheter om det finns en onödig åtkomstnivå |
Hitta gMSAs
Container för hanterade tjänstkonton
För att fungera effektivt måste gMSA:er finnas i containern Hanterade tjänstkonton i Active Directory-användare och -datorer.
Kör följande kommandon för att hitta tjänst-MSA:erna som inte finns i listan:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
Hantera gMSAs
Använd följande Active Directory PowerShell-cmdletar för att hantera gMSA:er:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Kommentar
I Windows Server 2012 och senare versioner fungerar cmdletarna *-ADServiceAccount med gMSAs. Läs mer: Kom igång med grupphanterade tjänstkonton.
Flytta till en gMSA
gMSAs är en säker tjänstkontotyp för lokalt. Vi rekommenderar att du använder gMSAs, om möjligt. Överväg också att flytta dina tjänster till Azure och dina tjänstkonton till Microsoft Entra-ID.
Kommentar
Innan du konfigurerar tjänsten för att använda gMSA kan du läsa Komma igång med grupphanterade tjänstkonton.
Så här flyttar du till en gMSA:
- Kontrollera att nyckeldistributionstjänsten (KDS) har distribuerats i skogen. Det här är en engångsåtgärd. Se Skapa KDS-rotnyckeln för nyckeldistributionstjänster.
- Skapa en ny gMSA. Se Komma igång med grupphanterade tjänstkonton.
- Installera den nya gMSA på värdar som kör tjänsten.
- Ändra tjänstidentiteten till gMSA.
- Ange ett tomt lösenord.
- Kontrollera att tjänsten fungerar under den nya gMSA-identiteten.
- Ta bort den gamla tjänstkontoidentiteten.
Nästa steg
Mer information om hur du skyddar tjänstkonton finns i följande artiklar: