Beveilig bestuurde diensrekeninge (gMSA) in Active Directory

Beveilig bestuurde diensrekeninge (gMSA) in Active Directory

04/08/2025

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en beveiliging van Group Managed Service Accounts (gMSA) in Active Directory. gMSA's bied 'n robuuste oplossing vir diensrekeningsekuriteitsuitdagings deur wagwoordbestuur te outomatiseer en administrasie te vereenvoudig [1].

Inleiding

Tradisionele diensrekeninge met statiese wagwoorde hou 'n aansienlike risiko in. gMSA's (Group Managed Service Accounts) brei die funksionaliteit van MSA's (Managed Service Accounts) uit, waardeur 'n enkele diensrekening deur verskeie bedieners gebruik kan word, met Active Directory wat outomaties wagwoordrotasie en sleutelverspreiding bestuur sonder handmatige ingryping [2].

Hierdie praktiese gids sal die voorvereistes dek, die skep en konfigurasie van gMSA's, hoe om dit met dienste en geskeduleerde take te assosieer, en beste praktyke om te verseker dat jou diensrekeninge beskerm en doeltreffend bestuur word.

Hoekom is gMSA's deurslaggewend?

  • Outomatiese wagwoordbestuur: Komplekse en lang wagwoorde word outomaties gegenereer en elke 30 dae deur Active Directory geroteer.
  • Ontplooiing op veelvuldige bedieners: 'n Enkele gMSA kan deur veelvuldige bedieners gebruik word, wat administrasie in verspreide omgewings vereenvoudig.
  • Beginsel van die minste voorreg: Fasiliteer die toestaan ​​van minimum nodige toestemmings.
  • Verbeterde ouditering: Vereenvoudig ouditering aangesien diensidentiteite duidelik omskryf en naspeurbaar is.

Voorvereistes

  1. Domainbeheerders (DC's) met Windows Server 2012 of hoër.
  2. Domain Functional Level (DFL) van Windows Server 2012 of hoër.
  3. Active Directory-module vir Windows PowerShell.
  4. Domain Member Servers wat gMSA sal gebruik.
  5. Sekuriteitsgroep vir gashere: 'n Sekuriteitsgroep in Active Directory wat die bedieners sal bevat wat gMSA sal gebruik.

Stap vir stap: Implementering en beveiliging van gMSA's

1. Konfigureer die KDS-wortelsleuteldiens

Die KDS-wortelsleuteldiens word vereis sodat Active Directory wagwoorde vir gMSA's kan genereer. Dit moet een keer per bos gekonfigureer word [3].

  1. Maak Windows PowerShell oop as administrateur op 'n domeinbeheerder.
  2. Kyk of die KDS-wortelsleuteldiens reeds opgestel is: powershell Kry-KdsRootKey
  3. As geen sleutel teruggestuur word nie, skep 'n nuwe KDS-wortelsleutel. Vir produksie, gebruik Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) om replikasie te aktiveer. Vir onmiddellike toetsing, gebruik: powershell Add-KdsRootKey -Onmiddellik effektief

2. Skep die sekuriteitsgroep vir gashere

Hierdie groep sal die bedieners bevat wat toegelaat sal word om die gMSA-wagwoord te herstel.

  1. Maak Active Directory-gebruikers en rekenaars (dsa.msc) oop.
  2. Skep 'n nuwe sekuriteitsgroep (bv. gMSA_Hosts_ServicoX) met omvang Global en tik Security.
  3. Voeg die rekenaars (bedieners) wat gMSA sal gebruik by hierdie groep (byvoorbeeld: ServidorApp01$, ServidorApp02$).

3. Die skep van die gMSA

Kom ons skep nou die gMSA met behulp van PowerShell.

  1. Maak Windows PowerShell oop as administrateur op 'n domeinbeheerder.
  2. Gebruik die New-ADServiceAccount cmdlet: powershell Nuwe-ADDiensrekening -Naam gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX"
    • Verduideliking: Die PrincipalsAllowedToRetrieveManagedPassword-parameter spesifiseer die sekuriteitsgroep wat die gMSA-wagwoord kan ophaal. Hierdie groep moet die bedieners bevat wat die diens sal laat loop.

4. Installeer en toets gMSA op gasheerbedieners

Op bedieners wat gMSA sal gebruik, moet jy dit installeer en die funksionaliteit daarvan toets.

  1. Op elke bedienerlid van die gMSA_Hosts_ServicoX-groep, maak Windows PowerShell oop as Administrateur.
  2. Installeer gMSA: powershell Installeer-ADServiceAccount -Identiteit gMSA_ServicoX
  3. Toets dat die gMSA geïnstalleer en funksioneel is: powershell Toets-ADDiensrekening -Identiteit gMSA_ServicoX
    • Verwagte resultaat: Die afvoer moet True wees, wat aandui dat gMSA gereed is om op die bediener gebruik te word.

5. Assosiasie van die gMSA met 'n diens

  1. Op die bediener waar die diens sal weesSodra dit uitgevoer is, maak die Dienste-konsole oop (services.msc).
  2. Vind die diens wat jy wil konfigureer.
  3. Regskliek op die diens, kies Eienskappe.
  4. In die Teken aan-oortjie, kies Hierdie rekening.
  5. In die Hierdie rekening-veld, tik die naam van jou gMSA gevolg deur 'n $, byvoorbeeld: gMSA_ServicoX$.
  6. Laat die wagwoord velde leeg. Active Directory sal die wagwoord outomaties bestuur.
  7. Klik Pas toe en OK.
  8. Herbegin die diens vir die veranderinge om in werking te tree.

6. Gebruik gMSA met geskeduleerde take

  1. Op die bediener, maak Taakskeduleerder (taskschd.msc) oop.
  2. Skep 'n nuwe taak of wysig 'n bestaande een.
  3. Op die Algemeen-oortjie, klik Verander gebruiker of groep....
  4. In die veld Voer die naam van die voorwerp in wat gekies moet word, voer die naam van jou gMSA in gevolg deur n$, byvoorbeeld:gMSA_ServicoX$`.
  5. Klik Check Names en dan OK.
  6. Laat die wagwoord velde leeg.
  7. Stel die ander geskeduleerde taakopsies op en klik OK.

Beste praktyke en sekuriteitswenke

  • Beginsel van die minste voorreg: Gee gMSA slegs die toestemmings wat nodig is om sy funksie uit te voer. Moenie gMSA's met domeinadministrateurregte gebruik nie.
  • Toegewyde sekuriteitsgroepe: Gebruik spesifieke sekuriteitsgroepe vir PrincipalsAllowedToRetrieveManagedPassword om te beheer watter bedieners gMSA kan gebruik.
  • Oudit: Monitor die gebruik van gMSA's deur Active Directory-sekuriteitloglêers om enige abnormale aktiwiteit op te spoor.
  • KDS-wortelsleutelbeskerming: Maak seker dat domeinbeheerders veilig is, aangesien die KDS-wortelsleutel van kritieke belang is vir die sekuriteit van gMSA's.
  • Verwyder ou diensrekeninge: Migreer dienste na gMSA's en deaktiveer of verwyder ou diensrekeninge wat statiese wagwoorde gebruik het.
  • Dokumentasie: Hou rekord van watter gMSA's gebruik word, watter dienste hulle bedryf en op watter bedieners.

Gevolgtrekking

Groepbestuurde diensrekeninge (gMSA) is 'n noodsaaklike komponent vir die verbetering van u Active Directory-sekuriteitsposisie, veral in die bestuur van diensidentiteite. Deur wagwoordrotasie te outomatiseer, ontplooiing in verspreide omgewings te vereenvoudig, en die toepassing van die beginsel van minste voorreg te vergemaklik, verminder gMSA's die aanvaloppervlak en administratiewe kompleksiteit aansienlik. Behoorlike implementering en bestuur van gMSA's is deurslaggewende stappe om u dienste en toepassings teen kuberbedreigings te beskerm.

Verwysings

[1] Microsoft. (2023). Groepbestuurde diensrekeninge (gMSA) in Active Directory. [2] Microsoft. (2023). Oorsig van Bestuurde Diensrekeninge. [3] Microsoft. (2023). Active Directory Key Distribution Service (KDS).