Tek başına yönetilen hizmet hesaplarının güvenliğini sağlama
Tek başına yönetilen hizmet hesapları (sMSA'lar), bir sunucuda çalışan hizmetlerin güvenliğini sağlamaya yardımcı olan yönetilen etki alanı hesaplarıdır. Bunlar birden çok sunucuda yeniden kullanılamaz. sMSA'lar otomatik parola yönetimine, basitleştirilmiş hizmet asıl adı (SPN) yönetimine ve yöneticilere temsilcili yönetime sahiptir.
Active Directory'de (AD), sMSA'lar hizmet çalıştıran bir sunucuya bağlanır. Hesapları Microsoft Yönetim Konsolu'ndaki Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde bulabilirsiniz.
Not
Yönetilen hizmet hesapları Windows Server 2008 R2 Active Directory Şeması'nda kullanıma sunulmuştur ve Windows Server 2008 R2 veya sonraki bir sürüm gerektirir.
sMSA avantajları
sMSA'lar, hizmet hesabı olarak kullanılan kullanıcı hesaplarından daha fazla güvenliğe sahiptir. Yönetim yükünü azaltmaya yardımcı olur:
- Güçlü parolalar ayarlama - sMSA'lar 240 bayt, rastgele oluşturulan karmaşık parolalar kullanır
- Karmaşıklık, deneme yanılma veya sözlük saldırıları ile risk olasılığını en aza indirir
- Parolaları düzenli olarak döngüye alma - Windows, sMSA parolasını 30 günde bir değiştirir.
- Hizmet ve etki alanı yöneticilerinin parola değişikliklerini zamanlaması veya ilişkili kapalı kalma süresini yönetmesi gerekmez
- SPN yönetimini basitleştirme - Etki alanı işlev düzeyi Windows Server 2008 R2 ise SPN'ler güncelleştirilir. SPN aşağıdaki durumlarda güncelleştirilir:
- Ana bilgisayar hesabını yeniden adlandırma
- Ana bilgisayar etki alanı adı sunucusu (DNS) adını değiştirme
- Diğer sam-accountname veya dns-hostname parametrelerini eklemek veya kaldırmak için PowerShell kullanma
- Bkz. Set-ADServiceAccount
SMSA'ları kullanma
Yönetim ve güvenlik görevlerini basitleştirmek için sMSA'ları kullanın. sMSA'lar, hizmetler bir sunucuya dağıtıldığında ve grup tarafından yönetilen hizmet hesabını (gMSA) kullanamıyorsanız yararlıdır.
Not
SMSA'ları birden fazla hizmet için kullanabilirsiniz, ancak her hizmetin denetim için bir kimliği olması önerilir.
Yazılım oluşturucu, uygulamanın MSA kullanıp kullanmadiğini size söyleyemezse uygulamayı test edin. Bir test ortamı oluşturun ve gerekli kaynaklara eriştiğine emin olun.
Daha fazla bilgi edinin: Yönetilen Hizmet Hesapları: Anlama, Uygulama, En İyi Yöntemler ve Sorun Giderme
sMSA güvenlik duruşu değerlendirme
Güvenlik duruşunun bir parçası olarak sMSA erişim kapsamını göz önünde bulundurun. Olası güvenlik sorunlarını azaltmak için aşağıdaki tabloya bakın:
| Güvenlik sorunu | Risk azaltma |
|---|---|
| sMSA ayrıcalıklı grupların bir üyesidir | - Etki Alanı Yöneticileri gibi yükseltilmiş ayrıcalıklı gruplardan sMSA'yı kaldırın - En az ayrıcalıklı modeli kullanın - Hizmetlerini çalıştırmak için sMSA hakları ve izinleri verme - İzinlerden emin değilseniz hizmet oluşturucusuna başvurun |
| sMSA'nın hassas kaynaklara okuma/yazma erişimi vardır | - Hassas kaynaklara erişimi denetleme - Denetim günlüklerini Azure Log Analytics veya Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SIEM) programına arşivleme - istenmeyen bir erişim algılanırsa kaynak izinlerini düzeltme |
| Varsayılan olarak, sMSA parola geçiş sıklığı 30 gündür | Kurumsal güvenlik gereksinimlerine bağlı olarak süreyi ayarlamak için grup ilkesini kullanın. Parola süre sonu süresini ayarlamak için şuraya gidin: Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Güvenlik Seçenekleri. Etki alanı üyesi için Makine hesabı parola yaşı üst sınırını kullanın. |
sMSA zorlukları
Zorlukları risk azaltmalarla ilişkilendirmek için aşağıdaki tabloyu kullanın.
| Sınama | Risk azaltma |
|---|---|
| sMSA'lar tek bir sunucuda | Hesabı sunucular arasında kullanmak için gMSA kullanma |
| sMSA'lar etki alanları arasında kullanılamaz | Hesabı etki alanları arasında kullanmak için gMSA kullanma |
| Tüm uygulamalar sMSA'ları desteklemez | Mümkünse gMSA kullanın. Aksi takdirde, oluşturucunun önerdiği şekilde standart bir kullanıcı hesabı veya bilgisayar hesabı kullanın |
sMSA'ları bulma
Bir etki alanı denetleyicisinde DSA.msc dosyasını çalıştırın ve ardından yönetilen hizmet hesapları kapsayıcısını genişleterek tüm sMSA'ları görüntüleyin.
Active Directory etki alanındaki tüm sMSA'ları ve gMSA'ları döndürmek için aşağıdaki PowerShell komutunu çalıştırın:
Get-ADServiceAccount -Filter *
Active Directory etki alanında sMSA'ları döndürmek için aşağıdaki komutu çalıştırın:
Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }
SMSA'ları yönetme
SMSA'larınızı yönetmek için aşağıdaki AD PowerShell cmdlet'lerini kullanabilirsiniz:
Get-ADServiceAccount
Install-ADServiceAccount
New-ADServiceAccount
Remove-ADServiceAccount
Set-ADServiceAccount
Test-ADServiceAccount
Uninstall-ADServiceAccount
sMSA'lara gitme
Bir uygulama hizmeti sMSA'ları destekliyor ancak gMSA'ları desteklemiyorsa ve güvenlik bağlamı için bir kullanıcı hesabı veya bilgisayar hesabı kullanıyorsanız bkz
. Yönetilen Hizmet Hesapları: Anlama, Uygulama, En İyi Yöntemler ve Sorun Giderme.
Mümkünse kaynakları Azure'a taşıyın ve Azure tarafından yönetilen kimlikleri veya hizmet sorumlularını kullanın.
Sonraki adımlar
Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz: