تأمين حسابات الخدمة المدارة (gMSA) في Active Directory

تأمين حسابات الخدمة المدارة (gMSA) في Active Directory

04/08/2025

تهدف هذه المقالة الفنية والتعليمية إلى توجيه محللي الأمن ومسؤولي تكنولوجيا المعلومات ومهندسي الأنظمة في تنفيذ وتأمين حسابات الخدمة المُدارة للمجموعة (gMSA) في Active Directory. تقدم gMSA حلاً قويًا لتحديات أمان حساب الخدمة من خلال أتمتة إدارة كلمات المرور وتبسيط الإدارة [1].

مقدمة

تشكل حسابات الخدمة التقليدية ذات كلمات المرور الثابتة خطرًا كبيرًا. تعمل gMSA (حسابات الخدمة المُدارة للمجموعة) على توسيع وظائف MSA (حسابات الخدمة المُدارة)، مما يسمح باستخدام حساب خدمة واحد بواسطة خوادم متعددة، مع إدارة Active Directory تلقائيًا لتدوير كلمات المرور وتوزيع المفاتيح دون تدخل يدوي [2].

سيغطي هذا الدليل العملي المتطلبات الأساسية، وإنشاء وتكوين gMSAs، وكيفية ربطها بالخدمات والمهام المجدولة، وأفضل الممارسات لضمان حماية حسابات الخدمة الخاصة بك وإدارتها بكفاءة.

لماذا تعتبر gMSAs حاسمة؟

  • إدارة كلمات المرور تلقائيًا: يتم إنشاء كلمات المرور المعقدة والطويلة تلقائيًا وتدويرها كل 30 يومًا بواسطة Active Directory.
  • النشر على خوادم متعددة: يمكن استخدام gMSA واحد بواسطة خوادم متعددة، مما يبسط الإدارة في البيئات الموزعة.
  • مبدأ الامتياز الأقل: يسهل منح الحد الأدنى من الأذونات اللازمة.
  • تحسين التدقيق: يبسط عملية التدقيق حيث يتم تعريف هويات الخدمة بشكل واضح ويمكن تتبعها.

المتطلبات الأساسية

  1. وحدات التحكم بالمجال (DC) التي تعمل بنظام التشغيل Windows Server 2012 أو الإصدارات الأحدث.
  2. المستوى الوظيفي للمجال (DFL) لنظام التشغيل Windows Server 2012 أو أعلى.
  3. وحدة الدليل النشط لنظام التشغيل Windows PowerShell.
  4. خوادم أعضاء المجال التي ستستخدم gMSA.
  5. مجموعة الأمان للمضيفين: مجموعة أمان في Active Directory والتي ستحتوي على الخوادم التي ستستخدم gMSA.

خطوة بخطوة: تنفيذ وتأمين gMSA

1. تكوين خدمة مفتاح الجذر KDS

خدمة KDS Root Key Service مطلوبة حتى يتمكن Active Directory من إنشاء كلمات مرور لـ gMSA. يجب تكوينه مرة واحدة لكل غابة [3].

  1. افتح Windows PowerShell كمسؤول على وحدة تحكم المجال.
  2. تحقق مما إذا كانت خدمة KDS Root Key Service قد تم تكوينها بالفعل: بوويرشيل الحصول على KdsRootKey
  3. إذا لم يتم إرجاع أي مفتاح، فقم بإنشاء مفتاح جذر KDS جديد. للإنتاج، استخدم Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) لتمكين النسخ المتماثل. للاختبار الفوري، استخدم: بوويرشيل Add-KdsRootKey - فعال على الفور

2. إنشاء مجموعة الأمان للمضيفين

ستحتوي هذه المجموعة على الخوادم التي سيتم السماح لها باستعادة كلمة مرور gMSA.

  1. افتح مستخدمو Active Directory وأجهزة الكمبيوتر (dsa.msc).
  2. قم بإنشاء مجموعة أمان جديدة (على سبيل المثال، gMSA_Hosts_ServicoX) بالنطاق Global واكتب Security.
  3. أضف أجهزة الكمبيوتر (الخوادم) التي ستستخدم gMSA إلى هذه المجموعة (على سبيل المثال: ServidorApp01$، ServidorApp02$).

3. إنشاء gMSA

لنقم الآن بإنشاء gMSA باستخدام PowerShell.

  1. افتح Windows PowerShell كمسؤول على وحدة تحكم المجال.
  2. استخدم الأمر cmdlet "New-ADServiceAccount": بوويرشيل حساب ADServiceAccount الجديد -الاسم gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX"
    • شرح: تحدد المعلمة PrincipalsAllowedToRetrieveManagedPassword مجموعة الأمان التي يمكنها استرداد كلمة مرور gMSA. يجب أن تحتوي هذه المجموعة على الخوادم التي ستقوم بتشغيل الخدمة.

4. تثبيت واختبار gMSA على الخوادم المضيفة

على الخوادم التي ستستخدم gMSA، يتعين عليك تثبيته واختبار وظائفه.

  1. في كل عضو خادم في مجموعة gMSA_Hosts_ServicoX، افتح Windows PowerShell كمسؤول.
  2. تثبيت gMSA: بوويرشيل تثبيت-ADServiceAccount-Identity gMSA_ServicoX
  3. اختبر أن gMSA مثبت ويعمل: بوويرشيل اختبار-ADServiceAccount-Identity gMSA_ServicoX
    • النتيجة المتوقعة: يجب أن يكون الإخراج صحيح، مما يشير إلى أن gMSA جاهز للاستخدام على الخادم.

5. ربط gMSA بالخدمة

  1. على الخادم حيث ستكون الخدمةبمجرد التنفيذ، افتح وحدة التحكم الخدمات (services.msc).
  2. حدد موقع الخدمة التي تريد تكوينها.
  3. انقر بزر الماوس الأيمن فوق الخدمة، ثم حدد خصائص.
  4. في علامة التبويب تسجيل الدخول، حدد هذا الحساب.
  5. في الحقل هذا الحساب، اكتب اسم gMSA متبوعًا بـ $، على سبيل المثال: gMSA_ServicoX$.
  6. اترك حقول كلمة المرور فارغة. سيقوم Active Directory بإدارة كلمة المرور تلقائيًا.
  7. انقر فوق تطبيق وموافق.
  8. أعد تشغيل الخدمة لتصبح التغييرات سارية المفعول.

6. استخدام gMSA مع المهام المجدولة

  1. على الخادم، افتح برنامج جدولة المهام (taskschd.msc).
  2. أنشئ مهمة جديدة أو قم بتحرير مهمة موجودة.
  3. في علامة التبويب عام، انقر فوق تغيير المستخدم أو المجموعة....
  4. في الحقل أدخل اسم الكائن المراد تحديده، أدخل اسم gMSA متبوعًا بـ $، على سبيل المثال: gMSA_ServicoX$.
  5. انقر فوق التحقق من الأسماء ثم موافق.
  6. اترك حقول كلمة المرور فارغة.
  7. قم بتكوين خيارات المهام المجدولة الأخرى وانقر فوق موافق.

أفضل الممارسات والنصائح الأمنية

  • مبدأ الامتياز الأقل: يمنح gMSA الأذونات اللازمة فقط لأداء وظيفته. لا تستخدم gMSA مع امتيازات مسؤول المجال.
  • مجموعات الأمان المخصصة: استخدم مجموعات أمان محددة لـ PrincipalsAllowedToRetrieveManagedPassword للتحكم في الخوادم التي يمكنها استخدام gMSA.
  • التدقيق: مراقبة استخدام gMSA من خلال سجلات أمان Active Directory لاكتشاف أي نشاط غير طبيعي.
  • حماية مفتاح جذر KDS: تأكد من أن وحدات التحكم بالمجال آمنة، حيث أن مفتاح جذر KDS ضروري لأمن gMSA.
  • إزالة حسابات الخدمة القديمة: ترحيل الخدمات إلى gMSA وتعطيل أو حذف حسابات الخدمة القديمة التي تستخدم كلمات مرور ثابتة.
  • الوثائق: احتفظ بسجل عن gMSA المستخدمة، والخدمات التي يتم تشغيلها، وعلى أي خوادم.

الخلاصة

تعد حسابات الخدمة المُدارة للمجموعة (gMSA) مكونًا حيويًا لتحسين وضع أمان Active Directory، خاصة في إدارة هويات الخدمة. ومن خلال أتمتة تدوير كلمات المرور، وتبسيط النشر في البيئات الموزعة، وتسهيل تطبيق مبدأ الامتيازات الأقل، تعمل gMSA على تقليل سطح الهجوم والتعقيد الإداري بشكل كبير. يعد التنفيذ والإدارة السليمين لـ gMSA خطوات حاسمة لحماية خدماتك وتطبيقاتك من التهديدات السيبرانية.

المراجع

[1] مايكروسوفت. (2023). حسابات الخدمة المُدارة للمجموعة (gMSA) في Active Directory. [2] مايكروسوفت. (2023). نظرة عامة على حسابات الخدمة المُدارة. [3] مايكروسوفت. (2023). خدمة توزيع مفتاح الدليل النشط (KDS).