Zabezpečení účtů spravovaných služeb (gMSA) v Active Directory

Zabezpečení účtů spravovaných služeb (gMSA) v Active Directory

04/08/2025

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a zabezpečení Group Managed Service Accounts (gMSA) v Active Directory. gMSA nabízejí robustní řešení problémů se zabezpečením servisních účtů tím, že automatizují správu hesel a zjednodušují správu [1].

Úvod

Tradiční servisní účty se statickými hesly představují značné riziko. gMSA (Group Managed Service Accounts) rozšiřují funkcionalitu MSA (Managed Service Accounts), což umožňuje použití jednoho servisního účtu více servery, přičemž Active Directory automaticky řídí střídání hesel a distribuci klíčů bez ručního zásahu [2].

Tato praktická příručka pokryje předpoklady, vytváření a konfiguraci gMSA, jak je přidružit ke službám a naplánovaným úlohám a osvědčené postupy pro zajištění ochrany a efektivní správy vašich účtů služeb.

Proč jsou gMSA zásadní?

  • Automatická správa hesel: Složitá a dlouhá hesla jsou automaticky generována a obměňována každých 30 dní službou Active Directory.
  • Nasazení na více serverech: Jeden gMSA může být používán více servery, což zjednodušuje správu v distribuovaných prostředích.
  • Princip nejmenšího privilegia: Usnadňuje udělování minimálních nezbytných oprávnění.
  • Vylepšený audit: Zjednodušuje audit, protože identity služeb jsou jasně definovány a sledovatelné.

Předpoklady

  1. Řadiče domény (DC) se systémem Windows Server 2012 nebo vyšším.
  2. Domain Functional Level (DFL) systému Windows Server 2012 nebo vyšší.
  3. Modul Active Directory pro Windows PowerShell.
  4. Členské servery domény, které budou používat gMSA.
  5. Security Group for Hosts: Skupina zabezpečení v Active Directory, která bude obsahovat servery, které budou používat gMSA.

Krok za krokem: Implementace a zabezpečení gMSA

1. Konfigurace služby kořenového klíče KDS

Služba KDS Root Key Service je vyžadována, aby služba Active Directory mohla generovat hesla pro gMSA. Je třeba jej nakonfigurovat jednou za doménovou strukturu [3].

  1. Otevřete Windows PowerShell jako správce na řadiči domény.
  2. Zkontrolujte, zda je služba kořenového klíče KDS již nakonfigurována: powershell Get-KdsRootKey
  3. Pokud není vrácen žádný klíč, vytvořte nový kořenový klíč KDS. Pro produkci použijte Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) k povolení replikace. Pro okamžité testování použijte: powershell Add-KdsRootKey -EfektivníIhned

2. Vytvoření skupiny zabezpečení pro hostitele

Tato skupina bude obsahovat servery, které budou moci obnovit heslo gMSA.

  1. Otevřete Active Directory Users and Computers (dsa.msc).
  2. Vytvořte novou skupinu zabezpečení (např. gMSA_Hosts_ServicoX) s rozsahem Global a zadejte Security.
  3. Do této skupiny přidejte počítače (servery), které budou používat gMSA (např. ServidorApp01$, ServidorApp02$).

3. Vytvoření gMSA

Nyní vytvoříme gMSA pomocí PowerShell.

  1. Otevřete Windows PowerShell jako správce na řadiči domény.
  2. Použijte rutinu New-ADServiceAccount: powershell New-ADServiceAccount -Name gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX"
    • Vysvětlení: Parametr PrincipalsAllowedToRetrieveManagedPassword určuje skupinu zabezpečení, která může získat heslo gMSA. Tato skupina musí obsahovat servery, na kterých bude služba spuštěna.

4. Instalace a testování gMSA na hostitelských serverech

Na serverech, které budou používat gMSA, je potřeba jej nainstalovat a otestovat jeho funkčnost.

  1. Na každém serveru, který je členem skupiny gMSA_Hosts_ServicoX, otevřete Windows PowerShell jako správce.
  2. Nainstalujte gMSA: powershell Install-ADServiceAccount -Identity gMSA_ServicoX
  3. Otestujte, zda je gMSA nainstalován a funkční: powershell Test-ADServiceAccount -Identita gMSA_ServicoX
    • Očekávaný výsledek: Výstup by měl být „True“, což znamená, že gMSA je připravena k použití na serveru.

5. Přidružení gMSA ke službě

  1. Na serveru, kde bude službaPo spuštění otevřete konzolu Služby (services.msc).
  2. Vyhledejte službu, kterou chcete konfigurovat.
  3. Klepněte pravým tlačítkem na službu a vyberte Vlastnosti.
  4. Na kartě Přihlásit se vyberte možnost Tento účet.
  5. Do pole Tento účet zadejte název svého gMSA následovaný znakem $, například: gMSA_ServicoX$.
  6. Ponechte pole hesla prázdná. Služba Active Directory bude heslo spravovat automaticky.
  7. Klikněte na Použít a OK.
  8. Restartujte službu, aby se změny projevily.

6. Použití gMSA s naplánovanými úlohami

  1. Na serveru otevřete Plánovač úloh (taskschd.msc).
  2. Vytvořte nový úkol nebo upravte existující.
  3. Na kartě Obecné klikněte na Změnit uživatele nebo skupinu....
  4. Do pole Zadejte název vybraného objektu zadejte název svého gMSA následovaný znakem $, například: gMSA_ServicoX$.
  5. Klikněte na Zkontrolovat jména a poté na OK.
  6. Ponechte pole hesla prázdná.
  7. Nakonfigurujte další možnosti naplánované úlohy a klepněte na OK.

Doporučené postupy a bezpečnostní tipy

  • Princip nejmenšího privilegia: Udělte gMSA pouze oprávnění nezbytná k výkonu jeho funkce. Nepoužívejte gMSA s oprávněními správce domény.
  • Vyhrazené skupiny zabezpečení: Použijte specifické skupiny zabezpečení pro PrincipalsAllowedToRetrieveManagedPassword k řízení toho, které servery mohou používat gMSA.
  • Audit: Monitorujte používání gMSA prostřednictvím protokolů zabezpečení služby Active Directory, abyste zjistili jakoukoli anomální aktivitu.
  • Ochrana kořenového klíče KDS: Zajistěte, aby byly řadiče domény zabezpečené, protože kořenový klíč KDS je pro zabezpečení gMSA zásadní.
  • Odstranit staré servisní účty: Migrujte služby na gMSA a deaktivujte nebo odstraňte staré servisní účty, které používaly statická hesla.
  • Dokumentace: Uchovávejte záznamy o tom, které gMSA se používají, jaké služby provozují a na kterých serverech.

Závěr

Group Managed Service Accounts (gMSA) jsou zásadní součástí pro zlepšení vaší pozice zabezpečení Active Directory, zejména při správě identit služeb. Díky automatizaci střídání hesel, zjednodušení nasazení v distribuovaných prostředích a usnadnění aplikace principu nejmenších oprávnění gMSA výrazně snižují povrch útoku a administrativní složitost. Správná implementace a správa gMSA jsou zásadní kroky k ochraně vašich služeb a aplikací před kybernetickými hrozbami.

Reference

[1] Microsoft. (2023). Skupinové účty spravovaných služeb (gMSA) v Active Directory. [2] Microsoft. (2023). Přehled účtů spravovaných služeb. [3] Microsoft. (2023). Služba distribuce klíčů Active Directory (KDS).