Sécurisation des comptes de services gérés (gMSA) dans Active Directory

Sécurisation des comptes de services gérés (gMSA) dans Active Directory

04/08/2025

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre et la sécurisation des comptes de service gérés de groupe (gMSA) dans Active Directory. Les gMSA offrent une solution robuste pour répondre aux défis de sécurité des comptes en automatisant la gestion des mots de passe et en simplifiant l'administration [1].

Présentation

Les comptes de service traditionnels avec des mots de passe statiques présentent un risque important. Les gMSA (Group Managed Service Accounts) étendent les fonctionnalités des MSA (Managed Service Accounts), permettant à un seul compte de service d'être utilisé par plusieurs serveurs, Active Directory gérant automatiquement la rotation des mots de passe et la distribution des clés sans intervention manuelle [2].

Ce guide pratique couvrira les conditions préalables, la création et la configuration des gMSA, la manière de les associer aux services et aux tâches planifiées, ainsi que les meilleures pratiques pour garantir que vos comptes de service sont protégés et gérés efficacement.

Pourquoi les gMSA sont-ils cruciaux ?

  • Gestion automatique des mots de passe : les mots de passe complexes et longs sont automatiquement générés et alternés tous les 30 jours par Active Directory.
  • Déploiement sur plusieurs serveurs : un seul gMSA peut être utilisé par plusieurs serveurs, simplifiant ainsi l'administration dans les environnements distribués.
  • Principe du moindre privilège : facilite l'octroi des autorisations minimales nécessaires.
  • Audit amélioré : simplifie l'audit car les identités de service sont clairement définies et traçables.

Prérequis

  1. Contrôleurs de domaine (DC) avec Windows Server 2012 ou version ultérieure.
  2. Niveau fonctionnel de domaine (DFL) de Windows Server 2012 ou supérieur.
  3. Module Active Directory pour Windows PowerShell.
  4. Serveurs membres du domaine qui utiliseront gMSA.
  5. Groupe de sécurité pour les hôtes : un groupe de sécurité dans Active Directory qui contiendra les serveurs qui utiliseront gMSA.

Étape par étape : mise en œuvre et sécurisation des gMSA

1. Configuration du service de clé racine KDS

Le service de clé racine KDS est requis pour qu'Active Directory puisse générer des mots de passe pour les gMSA. Il doit être configuré une fois par forêt [3].

  1. Ouvrez Windows PowerShell en tant qu'administrateur sur un contrôleur de domaine.
  2. Vérifiez si le service de clé racine KDS est déjà configuré : powershell Get-KdsRootKey
  3. Si aucune clé n'est renvoyée, créez une nouvelle clé racine KDS. Pour la production, utilisez « Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) » pour activer la réplication. Pour un test immédiat, utilisez : powershell Add-KdsRootKey -EffectiveImmediately

2. Création du groupe de sécurité pour les hôtes

Ce groupe contiendra les serveurs qui seront autorisés à récupérer le mot de passe gMSA.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory (dsa.msc).
  2. Créez un nouveau groupe de sécurité (par exemple gMSA_Hosts_ServicoX) avec la portée Global et tapez Security.
  3. Ajoutez les ordinateurs (serveurs) qui utiliseront gMSA à ce groupe (ex : ServidorApp01$, ServidorApp02$).

3. Création du gMSA

Créons maintenant le gMSA en utilisant PowerShell.

  1. Ouvrez Windows PowerShell en tant qu'administrateur sur un contrôleur de domaine.
  2. Utilisez l'applet de commande « New-ADServiceAccount » : powershell New-ADServiceAccount -Name gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX"
    • Explication : Le paramètre PrincipalsAllowedToRetrieveManagedPassword spécifie le groupe de sécurité qui peut récupérer le mot de passe gMSA. Ce groupe doit contenir les serveurs qui exécuteront le service.

4. Installation et test de gMSA sur les serveurs hôtes

Sur les serveurs qui utiliseront gMSA, vous devez l'installer et tester ses fonctionnalités.

  1. Sur chaque serveur membre du groupe « gMSA_Hosts_ServicoX », ouvrez Windows PowerShell en tant qu'administrateur.
  2. Installez GMSA : powershell Install-ADServiceAccount -Identité gMSA_ServicoX
  3. Testez que le gMSA est installé et fonctionnel : powershell Test-ADServiceAccount -Identité gMSA_ServicoX
    • Résultat attendu : La sortie doit être « True », indiquant que gMSA est prêt à être utilisé sur le serveur.

5. Associer le gMSA à un service

  1. Sur le serveur où sera le serviceUne fois exécuté, ouvrez la console Services (services.msc).
  2. Localisez le service que vous souhaitez configurer.
  3. Cliquez avec le bouton droit sur le service, sélectionnez Propriétés.
  4. Dans l'onglet Connexion, sélectionnez Ce compte.
  5. Dans le champ Ce compte, saisissez le nom de votre gMSA suivi d'un « $ », par exemple : « gMSA_ServicoX$ ».
  6. Laissez les champs du mot de passe vides. Active Directory gérera automatiquement le mot de passe.
  7. Cliquez sur Appliquer et OK.
  8. Redémarrez le service pour que les modifications prennent effet.

6. Utiliser gMSA avec des tâches planifiées

  1. Sur le serveur, ouvrez Task Scheduler (taskschd.msc).
  2. Créez une nouvelle tâche ou modifiez une tâche existante.
  3. Dans l'onglet Général, cliquez sur Modifier l'utilisateur ou le groupe....
  4. Dans le champ Entrez le nom de l'objet à sélectionner, saisissez le nom de votre gMSA suivi d'un $, par exemple : gMSA_ServicoX$.
  5. Cliquez sur Vérifier les noms, puis sur OK.
  6. Laissez les champs du mot de passe vides.
  7. Configurez les autres options de tâches planifiées et cliquez sur OK.

Bonnes pratiques et conseils de sécurité

  • Principe du moindre privilège : accordez à gMSA uniquement les autorisations nécessaires pour exécuter sa fonction. N'utilisez pas de gMSA avec des privilèges d'administrateur de domaine.
  • Groupes de sécurité dédiés : utilisez des groupes de sécurité spécifiques pour PrincipalsAllowedToRetrieveManagedPassword afin de contrôler quels serveurs peuvent utiliser gMSA.
  • Audit : surveillez l'utilisation des gMSA via les journaux de sécurité Active Directory pour détecter toute activité anormale.
  • Protection de la clé racine KDS : assurez-vous que les contrôleurs de domaine sont sécurisés, car la clé racine KDS est essentielle à la sécurité des gMSA.
  • Supprimer les anciens comptes de service : migrez les services vers les gMSA et désactivez ou supprimez les anciens comptes de service qui utilisaient des mots de passe statiques.
  • Documentation : conservez une trace des gMSA utilisés, des services qu'ils exécutent et sur quels serveurs.

Conclusion

Les comptes de service gérés de groupe (gMSA) sont un composant essentiel pour améliorer votre posture de sécurité Active Directory, en particulier dans la gestion des identités de service. En automatisant la rotation des mots de passe, en simplifiant le déploiement dans des environnements distribués et en facilitant l'application du principe du moindre privilège, les gMSA réduisent considérablement la surface d'attaque et la complexité administrative. Une mise en œuvre et une gestion appropriées des gMSA sont des étapes cruciales pour protéger vos services et applications contre les cybermenaces.

Références

[1]Microsoft. (2023). Comptes de service gérés de groupe (gMSA) dans Active Directory. [2]Microsoft. (2023). Aperçu des comptes de services gérés. [3]Microsoft. (2023). Service de distribution de clés Active Directory (KDS).