Aracılığıyla paylaş


Tek başına yönetilen hizmet hesaplarının güvenliğini sağlama

Tek başına yönetilen hizmet hesapları (sMSA'lar), bir sunucuda çalışan hizmetlerin güvenliğini sağlamaya yardımcı olan yönetilen etki alanı hesaplarıdır. Bunlar birden çok sunucuda yeniden kullanılamaz. sMSA'lar otomatik parola yönetimine, basitleştirilmiş hizmet asıl adı (SPN) yönetimine ve yöneticilere temsilcili yönetime sahiptir.

Active Directory'de (AD), sMSA'lar hizmet çalıştıran bir sunucuya bağlanır. Hesapları Microsoft Yönetim Konsolu'ndaki Active Directory Kullanıcıları ve Bilgisayarları ek bileşeninde bulabilirsiniz.

Not

Yönetilen hizmet hesapları Windows Server 2008 R2 Active Directory Şeması'nda kullanıma sunulmuştur ve Windows Server 2008 R2 veya sonraki bir sürüm gerektirir.

sMSA avantajları

sMSA'lar, hizmet hesabı olarak kullanılan kullanıcı hesaplarından daha fazla güvenliğe sahiptir. Yönetim yükünü azaltmaya yardımcı olur:

  • Güçlü parolalar ayarlama - sMSA'lar 240 bayt, rastgele oluşturulan karmaşık parolalar kullanır
    • Karmaşıklık, deneme yanılma veya sözlük saldırıları ile risk olasılığını en aza indirir
  • Parolaları düzenli olarak döngüye alma - Windows, sMSA parolasını 30 günde bir değiştirir.
    • Hizmet ve etki alanı yöneticilerinin parola değişikliklerini zamanlaması veya ilişkili kapalı kalma süresini yönetmesi gerekmez
  • SPN yönetimini basitleştirme - Etki alanı işlev düzeyi Windows Server 2008 R2 ise SPN'ler güncelleştirilir. SPN aşağıdaki durumlarda güncelleştirilir:
    • Ana bilgisayar hesabını yeniden adlandırma
    • Ana bilgisayar etki alanı adı sunucusu (DNS) adını değiştirme
    • Diğer sam-accountname veya dns-hostname parametrelerini eklemek veya kaldırmak için PowerShell kullanma
    • Bkz. Set-ADServiceAccount

SMSA'ları kullanma

Yönetim ve güvenlik görevlerini basitleştirmek için sMSA'ları kullanın. sMSA'lar, hizmetler bir sunucuya dağıtıldığında ve grup tarafından yönetilen hizmet hesabını (gMSA) kullanamıyorsanız yararlıdır.

Not

SMSA'ları birden fazla hizmet için kullanabilirsiniz, ancak her hizmetin denetim için bir kimliği olması önerilir.

Yazılım oluşturucu, uygulamanın MSA kullanıp kullanmadiğini size söyleyemezse uygulamayı test edin. Bir test ortamı oluşturun ve gerekli kaynaklara eriştiğine emin olun.

Daha fazla bilgi edinin: Yönetilen Hizmet Hesapları: Anlama, Uygulama, En İyi Yöntemler ve Sorun Giderme

sMSA güvenlik duruşu değerlendirme

Güvenlik duruşunun bir parçası olarak sMSA erişim kapsamını göz önünde bulundurun. Olası güvenlik sorunlarını azaltmak için aşağıdaki tabloya bakın:

Güvenlik sorunu Risk azaltma
sMSA ayrıcalıklı grupların bir üyesidir - Etki Alanı Yöneticileri
gibi yükseltilmiş ayrıcalıklı gruplardan sMSA'yı kaldırın - En az ayrıcalıklı modeli
kullanın - Hizmetlerini
çalıştırmak için sMSA hakları ve izinleri verme - İzinlerden emin değilseniz hizmet oluşturucusuna başvurun
sMSA'nın hassas kaynaklara okuma/yazma erişimi vardır - Hassas kaynaklara
erişimi denetleme - Denetim günlüklerini Azure Log Analytics veya Microsoft Sentinel
gibi bir güvenlik bilgileri ve olay yönetimi (SIEM) programına arşivleme - istenmeyen bir erişim algılanırsa kaynak izinlerini düzeltme
Varsayılan olarak, sMSA parola geçiş sıklığı 30 gündür Kurumsal güvenlik gereksinimlerine bağlı olarak süreyi ayarlamak için grup ilkesini kullanın. Parola süre sonu süresini ayarlamak için şuraya gidin:
Bilgisayar Yapılandırma>İlkeleri>Windows Ayarları>Güvenlik Ayarları>Güvenlik Seçenekleri. Etki alanı üyesi için Makine hesabı parola yaşı üst sınırını kullanın.

sMSA zorlukları

Zorlukları risk azaltmalarla ilişkilendirmek için aşağıdaki tabloyu kullanın.

Sınama Risk azaltma
sMSA'lar tek bir sunucuda Hesabı sunucular arasında kullanmak için gMSA kullanma
sMSA'lar etki alanları arasında kullanılamaz Hesabı etki alanları arasında kullanmak için gMSA kullanma
Tüm uygulamalar sMSA'ları desteklemez Mümkünse gMSA kullanın. Aksi takdirde, oluşturucunun önerdiği şekilde standart bir kullanıcı hesabı veya bilgisayar hesabı kullanın

sMSA'ları bulma

Bir etki alanı denetleyicisinde DSA.msc dosyasını çalıştırın ve ardından yönetilen hizmet hesapları kapsayıcısını genişleterek tüm sMSA'ları görüntüleyin.

Active Directory etki alanındaki tüm sMSA'ları ve gMSA'ları döndürmek için aşağıdaki PowerShell komutunu çalıştırın:

Get-ADServiceAccount -Filter *

Active Directory etki alanında sMSA'ları döndürmek için aşağıdaki komutu çalıştırın:

Get-ADServiceAccount -Filter * | where { $_.objectClass -eq "msDS-ManagedServiceAccount" }

SMSA'ları yönetme

SMSA'larınızı yönetmek için aşağıdaki AD PowerShell cmdlet'lerini kullanabilirsiniz:

Get-ADServiceAccount Install-ADServiceAccount New-ADServiceAccount Remove-ADServiceAccount Set-ADServiceAccount Test-ADServiceAccount Uninstall-ADServiceAccount

sMSA'lara gitme

Bir uygulama hizmeti sMSA'ları destekliyor ancak gMSA'ları desteklemiyorsa ve güvenlik bağlamı için bir kullanıcı hesabı veya bilgisayar hesabı kullanıyorsanız bkz
. Yönetilen Hizmet Hesapları: Anlama, Uygulama, En İyi Yöntemler ve Sorun Giderme.

Mümkünse kaynakları Azure'a taşıyın ve Azure tarafından yönetilen kimlikleri veya hizmet sorumlularını kullanın.

Sonraki adımlar

Hizmet hesaplarının güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz: