Skydda fristående hanterade tjänstkonton
Fristående hanterade tjänstkonton (sMSA) är hanterade domänkonton som hjälper till att skydda tjänster som körs på en server. De kan inte återanvändas på flera servrar. sMSA:er har automatisk lösenordshantering, förenklad hantering av tjänstens huvudnamn (SPN) och delegerad hantering till administratörer.
I Active Directory (AD) är sMSA:er knutna till en server som kör en tjänst. Du hittar konton i snapin-modulen Active Directory-användare och datorer i Microsoft Management Console.
Kommentar
Hanterade tjänstkonton introducerades i Windows Server 2008 R2 Active Directory Schema, och de kräver Windows Server 2008 R2 eller en senare version.
sMSA-fördelar
sMSA:er har större säkerhet än användarkonton som används som tjänstkonton. De bidrar till att minska de administrativa kostnaderna:
- Ange starka lösenord – sMSAs använder 240 byte, slumpmässigt genererade komplexa lösenord
- Komplexiteten minimerar risken för kompromettering av råstyrkeattacker eller ordlisteattacker
- Växla lösenord regelbundet – Windows ändrar sMSA-lösenordet var 30:e dag.
- Tjänst- och domänadministratörer behöver inte schemalägga lösenordsändringar eller hantera tillhörande stilleståndstid
- Förenkla SPN-hanteringen – SPN uppdateras om domänfunktionsnivån är Windows Server 2008 R2. SPN uppdateras när du:
Använda sMSAs
Använd sMSA:er för att förenkla hanterings- och säkerhetsuppgifter. sMSA är användbara när tjänster distribueras till en server och du inte kan använda ett grupphanterat tjänstkonto (gMSA).
Kommentar
Du kan använda sMSA:er för mer än en tjänst, men vi rekommenderar att varje tjänst har en identitet för granskning.
Om programvaruskapare inte kan berätta för dig om programmet använder en MSA testar du programmet. Skapa en testmiljö och se till att den får åtkomst till nödvändiga resurser.
Läs mer: Hanterade tjänstkonton: Förstå, implementera, metodtips och felsökning
Utvärdera sMSA-säkerhetsstatus
Överväg sMSA-åtkomstomfånget som en del av säkerhetsstatusen. Information om hur du åtgärdar potentiella säkerhetsproblem finns i följande tabell:
Säkerhetsproblem | Riskreducering |
---|---|
sMSA är medlem i privilegierade grupper | – Ta bort sMSA från förhöjda privilegierade grupper, till exempel domänadministratörer – Använd den minst privilegierade modellen – Bevilja sMSA-behörigheter och behörigheter för att köra dess tjänster – Om du är osäker på behörigheter kontaktar du tjänstens skapare |
sMSA har läs-/skrivåtkomst till känsliga resurser | – Granska åtkomst till känsliga resurser – Arkivera granskningsloggar till ett SIEM-program (säkerhetsinformation och händelsehantering), till exempel Azure Log Analytics eller Microsoft Sentinel – Åtgärda resursbehörigheter om en oönskad åtkomst identifieras |
Som standard är frekvensen för sMSA-lösenordsåterställning 30 dagar | Använd grupprincip för att justera varaktigheten, beroende på företagets säkerhetskrav. Om du vill ange giltighetstiden för lösenordet går du till: Datorkonfigurationsprinciper>>Windows-inställningar>Säkerhetsinställningar>Säkerhetsalternativ. För domänmedlem använder du Högsta ålder för lösenord för datorkonton. |
sMSA-utmaningar
Använd följande tabell för att associera utmaningar med åtgärder.
Uppgift | Riskreducering |
---|---|
sMSA:er finns på en enskild server | Använda en gMSA för att använda kontot mellan servrar |
sMSA:er kan inte användas mellan domäner | Använda en gMSA för att använda kontot mellan domäner |
Alla program stöder inte sMSA:er | Använd en gMSA, om möjligt. Annars använder du ett standardanvändarkonto eller ett datorkonto, enligt rekommendationen från skaparen |
Hitta sMSAs
På en domänkontrollant kör du DSA.msc och expanderar sedan containern för hanterade tjänstkonton för att visa alla sMSA:er.
Kör följande PowerShell-kommando för att returnera alla sMSA:er och gMSA:er i Active Directory-domänen:
Get-ADServiceAccount -Filter *
Kör följande kommando för att returnera sMSA:er i Active Directory-domänen:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
Hantera sMSA:er
Om du vill hantera dina sMSA:er kan du använda följande AD PowerShell-cmdletar:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Flytta till sMSAs
Om en programtjänst stöder sMSA: er, men inte gMSAs, och du använder ett användarkonto eller datorkonto för säkerhetskontexten, se
Hanterade tjänstkonton: Förstå, Implementera, Metodtips och Felsökning.
Om möjligt kan du flytta resurser till Azure och använda hanterade Identiteter i Azure eller tjänstens huvudnamn.
Nästa steg
Mer information om hur du skyddar tjänstkonton finns i: