Grup tarafından yönetilen hizmet hesaplarının güvenliğini sağlama

Grup tarafından yönetilen hizmet hesapları (gMSA'lar), hizmetlerin güvenliğini sağlamaya yardımcı olan etki alanı hesaplarıdır. gMSA'lar bir sunucuda veya ağ yükü dengeleme veya Internet Information Services (IIS) sunucusunun arkasındaki sistemler gibi bir sunucu grubunda çalıştırılabilir. Hizmetlerinizi gMSA sorumlusu kullanacak şekilde yapılandırdıktan sonra, hesap parolası yönetimi Windows işletim sistemi (OS) tarafından işlenir.

gMSA'ların avantajları

gMSA'lar, yönetim yükünü azaltmaya yardımcı olan daha fazla güvenliğe sahip bir kimlik çözümüdür:

• Güçlü parolalar ayarlama - 240 baytlık, rastgele oluşturulan parolalar: gMSA parolalarının karmaşıklığı ve uzunluğu deneme yanılma veya sözlük saldırılarıyla risk olasılığını en aza indirir
• Parolaları düzenli olarak döngüye alma - parola yönetimi Windows işletim sistemine gider ve bu da parolayı 30 günde bir değiştirir. Hizmet ve etki alanı yöneticilerinin parola değişikliklerini zamanlaması veya hizmet kesintilerini yönetmesi gerekmez.
• Sunucu gruplarına dağıtım desteği - birden çok ana bilgisayar aynı hizmeti çalıştırdığı yük dengeli çözümleri desteklemek için gMSA'ları birden çok sunucuya dağıtın
• Basitleştirilmiş hizmet asıl adı (SPN) yönetimini destekleme - Hesap oluşturduğunuzda PowerShell ile bir SPN ayarlayın.
  • Ayrıca, gMSA izinleri doğru ayarlanmışsa, otomatik SPN kayıtlarını destekleyen hizmetler bunu gMSA'ya karşı yapabilir.

gMSA'ları kullanma

Yük devretme kümelemesi gibi bir hizmet bunu desteklemediği sürece şirket içi hizmetler için hesap türü olarak gMSA'ları kullanın.

Önemli

Üretime geçmeden önce hizmetinizi gMSA'larla test edin. Uygulamanın gMSA'yı kullandığından ve ardından kaynaklara eriştiğinden emin olmak için bir test ortamı ayarlayın. Daha fazla bilgi için bkz . Grup tarafından yönetilen hizmet hesapları için destek.

Bir hizmet gMSA'ları desteklemiyorsa, tek başına yönetilen hizmet hesabı (sMSA) kullanabilirsiniz. SMSA aynı işlevselliğe sahiptir, ancak tek bir sunucuda dağıtıma yöneliktir.

Hizmetiniz tarafından desteklenen bir gMSA veya sMSA kullanamıyorsanız, hizmeti standart kullanıcı hesabı olarak çalışacak şekilde yapılandırın. Hizmet ve etki alanı yöneticilerinin hesabın güvenli kalmasına yardımcı olmak için güçlü parola yönetimi işlemlerini gözlemlemeleri gerekir.

gMSA güvenlik duruşu değerlendirme

gMSA'lar, sürekli parola yönetimi gerektiren standart kullanıcı hesaplarından daha güvenlidir. Ancak güvenlik duruşuyla ilgili olarak gMSA erişim kapsamını göz önünde bulundurun. GMSA'ları kullanmaya yönelik olası güvenlik sorunları ve risk azaltmaları aşağıdaki tabloda gösterilmiştir:

Güvenlik sorunu	Risk azaltma
gMSA, ayrıcalıklı grupların bir üyesidir	- Grup üyeliklerinizi gözden geçirin. Grup üyeliklerini listelemek için bir PowerShell betiği oluşturun. Sonuç CSV dosyasını gMSA dosya adlarına göre filtreleyin - gMSA'yi ayrıcalıklı gruplardan kaldırın - Hizmetini çalıştırmak için gereken gMSA haklarını ve izinlerini verin. Hizmet satıcınıza bakın.
gMSA'nın hassas kaynaklara okuma/yazma erişimi vardır	- Hassas kaynaklara erişimi denetleme - Azure Log Analytics veya Microsoft Sentinel gibi bir SIEM'de denetim günlüklerini arşivleyin - Gereksiz bir erişim düzeyi varsa gereksiz kaynak izinlerini kaldırın

gMSA'ları bulma

Yönetilen Hizmet Hesapları kapsayıcısı

Etkin bir şekilde çalışmak için gMSA'ların Active Directory Kullanıcıları ve Bilgisayarları Yönetilen Hizmet Hesapları kapsayıcısında olması gerekir.

Listede olmayan hizmet MSA'larını bulmak için aşağıdaki komutları çalıştırın:

Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

gMSA'ları yönetme

gMSA'ları yönetmek için aşağıdaki Active Directory PowerShell cmdlet'lerini kullanın:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Not

Windows Server 2012 ve sonraki sürümlerde *-ADServiceAccount cmdlet'leri gMSA'larla çalışır. Daha fazla bilgi edinin: Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.

gMSA'ya gitme

gMSA'lar, şirket içi için güvenli bir hizmet hesabı türüdür. Mümkünse gMSA'ları kullanmanız önerilir. Ayrıca, hizmetlerinizi Azure'a ve hizmet hesaplarınızı Microsoft Entra Id'ye taşımayı göz önünde bulundurun.

Not

Hizmetinizi gMSA kullanacak şekilde yapılandırmadan önce bkz . Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.

gMSA'ya gitmek için:

1. Anahtar Dağıtım Hizmeti (KDS) kök anahtarının ormanda dağıtıldığından emin olun. Bu bir seferlik bir işlemdir. Bkz. Anahtar Dağıtım Hizmetleri KDS Kök Anahtarı oluşturma.
2. Yeni bir gMSA oluşturun. Bkz. Grup Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.
3. Yeni gMSA'yi hizmeti çalıştıran konaklara yükleyin.
4. Hizmet kimliğinizi gMSA olarak değiştirin.
5. Boş bir parola belirtin.
6. Hizmetinizin yeni gMSA kimliği altında çalıştığını doğrulayın.
7. Eski hizmet hesabı kimliğini silin.

Sonraki adımlar

Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Şirket içi hizmet hesaplarına giriş
• Tek başına yönetilen hizmet hesaplarının güvenliğini sağlama
• Active Directory ile bilgisayar hesaplarının güvenliğini sağlama
• Active Directory'de kullanıcı tabanlı hizmet hesaplarının güvenliğini sağlama
• Şirket içi hizmet hesaplarını yönetme