Grup tarafından yönetilen hizmet hesaplarının güvenliğini sağlama
Grup tarafından yönetilen hizmet hesapları (gMSA'lar), hizmetlerin güvenliğini sağlamaya yardımcı olan etki alanı hesaplarıdır. gMSA'lar bir sunucuda veya ağ yükü dengeleme veya Internet Information Services (IIS) sunucusunun arkasındaki sistemler gibi bir sunucu grubunda çalıştırılabilir. Hizmetlerinizi gMSA sorumlusu kullanacak şekilde yapılandırdıktan sonra, hesap parolası yönetimi Windows işletim sistemi (OS) tarafından işlenir.
gMSA'ların avantajları
gMSA'lar, yönetim yükünü azaltmaya yardımcı olan daha fazla güvenliğe sahip bir kimlik çözümüdür:
- Güçlü parolalar ayarlama - 240 baytlık, rastgele oluşturulan parolalar: gMSA parolalarının karmaşıklığı ve uzunluğu deneme yanılma veya sözlük saldırılarıyla risk olasılığını en aza indirir
- Parolaları düzenli olarak döngüye alma - parola yönetimi Windows işletim sistemine gider ve bu da parolayı 30 günde bir değiştirir. Hizmet ve etki alanı yöneticilerinin parola değişikliklerini zamanlaması veya hizmet kesintilerini yönetmesi gerekmez.
- Sunucu gruplarına dağıtım desteği - birden çok ana bilgisayar aynı hizmeti çalıştırdığı yük dengeli çözümleri desteklemek için gMSA'ları birden çok sunucuya dağıtın
- Basitleştirilmiş hizmet asıl adı (SPN) yönetimini destekleme - Hesap oluşturduğunuzda PowerShell ile bir SPN ayarlayın.
- Ayrıca, gMSA izinleri doğru ayarlanmışsa, otomatik SPN kayıtlarını destekleyen hizmetler bunu gMSA'ya karşı yapabilir.
gMSA'ları kullanma
Yük devretme kümelemesi gibi bir hizmet bunu desteklemediği sürece şirket içi hizmetler için hesap türü olarak gMSA'ları kullanın.
Önemli
Üretime geçmeden önce hizmetinizi gMSA'larla test edin. Uygulamanın gMSA'yı kullandığından ve ardından kaynaklara eriştiğinden emin olmak için bir test ortamı ayarlayın. Daha fazla bilgi için bkz . Grup tarafından yönetilen hizmet hesapları için destek.
Bir hizmet gMSA'ları desteklemiyorsa, tek başına yönetilen hizmet hesabı (sMSA) kullanabilirsiniz. SMSA aynı işlevselliğe sahiptir, ancak tek bir sunucuda dağıtıma yöneliktir.
Hizmetiniz tarafından desteklenen bir gMSA veya sMSA kullanamıyorsanız, hizmeti standart kullanıcı hesabı olarak çalışacak şekilde yapılandırın. Hizmet ve etki alanı yöneticilerinin hesabın güvenli kalmasına yardımcı olmak için güçlü parola yönetimi işlemlerini gözlemlemeleri gerekir.
gMSA güvenlik duruşu değerlendirme
gMSA'lar, sürekli parola yönetimi gerektiren standart kullanıcı hesaplarından daha güvenlidir. Ancak güvenlik duruşuyla ilgili olarak gMSA erişim kapsamını göz önünde bulundurun. GMSA'ları kullanmaya yönelik olası güvenlik sorunları ve risk azaltmaları aşağıdaki tabloda gösterilmiştir:
Güvenlik sorunu | Risk azaltma |
---|---|
gMSA, ayrıcalıklı grupların bir üyesidir | - Grup üyeliklerinizi gözden geçirin. Grup üyeliklerini listelemek için bir PowerShell betiği oluşturun. Sonuç CSV dosyasını gMSA dosya adlarına göre filtreleyin - gMSA'yi ayrıcalıklı gruplardan kaldırın - Hizmetini çalıştırmak için gereken gMSA haklarını ve izinlerini verin. Hizmet satıcınıza bakın. |
gMSA'nın hassas kaynaklara okuma/yazma erişimi vardır | - Hassas kaynaklara erişimi denetleme - Azure Log Analytics veya Microsoft Sentinel gibi bir SIEM'de denetim günlüklerini arşivleyin - Gereksiz bir erişim düzeyi varsa gereksiz kaynak izinlerini kaldırın |
gMSA'ları bulma
Yönetilen Hizmet Hesapları kapsayıcısı
Etkin bir şekilde çalışmak için gMSA'ların Active Directory Kullanıcıları ve Bilgisayarları Yönetilen Hizmet Hesapları kapsayıcısında olması gerekir.
Listede olmayan hizmet MSA'larını bulmak için aşağıdaki komutları çalıştırın:
Get-ADServiceAccount -Filter *
# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.
# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount
# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount
# To filter results to only gMSAs:
Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}
gMSA'ları yönetme
gMSA'ları yönetmek için aşağıdaki Active Directory PowerShell cmdlet'lerini kullanın:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
Not
Windows Server 2012 ve sonraki sürümlerde *-ADServiceAccount cmdlet'leri gMSA'larla çalışır. Daha fazla bilgi edinin: Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.
gMSA'ya gitme
gMSA'lar, şirket içi için güvenli bir hizmet hesabı türüdür. Mümkünse gMSA'ları kullanmanız önerilir. Ayrıca, hizmetlerinizi Azure'a ve hizmet hesaplarınızı Microsoft Entra Id'ye taşımayı göz önünde bulundurun.
Not
Hizmetinizi gMSA kullanacak şekilde yapılandırmadan önce bkz . Grup tarafından yönetilen hizmet hesaplarını kullanmaya başlama.
gMSA'ya gitmek için:
- Anahtar Dağıtım Hizmeti (KDS) kök anahtarının ormanda dağıtıldığından emin olun. Bu bir seferlik bir işlemdir. Bkz. Anahtar Dağıtım Hizmetleri KDS Kök Anahtarı oluşturma.
- Yeni bir gMSA oluşturun. Bkz. Grup Yönetilen Hizmet Hesaplarını Kullanmaya Başlama.
- Yeni gMSA'yi hizmeti çalıştıran konaklara yükleyin.
- Hizmet kimliğinizi gMSA olarak değiştirin.
- Boş bir parola belirtin.
- Hizmetinizin yeni gMSA kimliği altında çalıştığını doğrulayın.
- Eski hizmet hesabı kimliğini silin.
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın: