सक्रिय निर्देशिका में प्रबंधित सेवा खाते (जीएमएसए) को सुरक्षित करना

सक्रिय निर्देशिका में प्रबंधित सेवा खाते (जीएमएसए) को सुरक्षित करना

04/08/2025

इस तकनीकी और शैक्षिक लेख का उद्देश्य सक्रिय निर्देशिका में समूह प्रबंधित सेवा खातों (जीएमएसए) को लागू करने और सुरक्षित करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। जीएमएसए पासवर्ड प्रबंधन को स्वचालित करके और प्रशासन को सरल बनाकर सेवा खाता सुरक्षा चुनौतियों का एक मजबूत समाधान प्रदान करता है [1]।

परिचय

स्थिर पासवर्ड वाले पारंपरिक सेवा खाते एक महत्वपूर्ण जोखिम पैदा करते हैं। जीएमएसए (समूह प्रबंधित सेवा खाते) एमएसए (प्रबंधित सेवा खाते) की कार्यक्षमता का विस्तार करते हैं, जिससे एक ही सेवा खाते को कई सर्वरों द्वारा उपयोग करने की इजाजत मिलती है, सक्रिय निर्देशिका स्वचालित रूप से मैन्युअल हस्तक्षेप के बिना पासवर्ड रोटेशन और कुंजी वितरण का प्रबंधन करती है [2]।

यह व्यावहारिक मार्गदर्शिका पूर्वापेक्षाएँ, जीएमएसए बनाना और कॉन्फ़िगर करना, उन्हें सेवाओं और निर्धारित कार्यों के साथ कैसे जोड़ना है, और यह सुनिश्चित करने के लिए सर्वोत्तम प्रथाओं को कवर करेगी कि आपके सेवा खाते सुरक्षित और कुशलतापूर्वक प्रबंधित हैं।

जीएमएसए क्यों महत्वपूर्ण हैं?

  • स्वचालित पासवर्ड प्रबंधन: जटिल और लंबे पासवर्ड सक्रिय निर्देशिका द्वारा हर 30 दिनों में स्वचालित रूप से उत्पन्न और घुमाए जाते हैं।
  • एकाधिक सर्वर पर तैनाती: एक एकल जीएमएसए का उपयोग कई सर्वरों द्वारा किया जा सकता है, जिससे वितरित वातावरण में प्रशासन सरल हो जाता है।
  • न्यूनतम विशेषाधिकार का सिद्धांत: न्यूनतम आवश्यक अनुमतियाँ देने की सुविधा प्रदान करता है।
  • बेहतर ऑडिटिंग: ऑडिटिंग को सरल बनाता है क्योंकि सेवा पहचान स्पष्ट रूप से परिभाषित और पता लगाने योग्य होती है।

पूर्वावश्यकताएँ

  1. Windows Server 2012 या उच्चतर वाले डोमेन नियंत्रक (DCs)
  2. **विंडोज सर्वर 2012 या उच्चतर का डोमेन कार्यात्मक स्तर (डीएफएल)।
  3. Windows PowerShell के लिए सक्रिय निर्देशिका मॉड्यूल
  4. डोमेन सदस्य सर्वर जो जीएमएसए का उपयोग करेंगे।
  5. होस्ट के लिए सुरक्षा समूह: सक्रिय निर्देशिका में एक सुरक्षा समूह जिसमें सर्वर शामिल होंगे जो जीएमएसए का उपयोग करेंगे।

चरण दर चरण: जीएमएसए को लागू करना और सुरक्षित करना

1. केडीएस रूट कुंजी सेवा को कॉन्फ़िगर करना

केडीएस रूट कुंजी सेवा आवश्यक है ताकि सक्रिय निर्देशिका जीएमएसए के लिए पासवर्ड उत्पन्न कर सके। इसे प्रति वन एक बार कॉन्फ़िगर करने की आवश्यकता है [3]।

  1. डोमेन नियंत्रक पर व्यवस्थापक के रूप में Windows PowerShell खोलें।
  2. जांचें कि क्या केडीएस रूट कुंजी सेवा पहले से कॉन्फ़िगर है: पॉवरशेल KdsRootKey प्राप्त करें
  3. यदि कोई कुंजी वापस नहीं आती है, तो एक नई KDS रूट कुंजी बनाएं। उत्पादन के लिए, प्रतिकृति सक्षम करने के लिए Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) का उपयोग करें। तत्काल परीक्षण के लिए, उपयोग करें: पॉवरशेल ऐड-KdsRootKey-तत्काल प्रभावी

2. मेज़बानों के लिए सुरक्षा समूह बनाना

इस समूह में वे सर्वर होंगे जिन्हें जीएमएसए पासवर्ड पुनर्प्राप्त करने की अनुमति दी जाएगी।

  1. सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर (dsa.msc) खोलें।
  2. ग्लोबल दायरे के साथ एक नया सुरक्षा समूह बनाएं (उदाहरण के लिए gMSA_Hosts_ServicoX) और सुरक्षा टाइप करें।
  3. इस समूह में वे कंप्यूटर (सर्वर) जोड़ें जो जीएमएसए का उपयोग करेंगे (उदाहरण: ServidorApp01$, ServidorApp02$)।

3. जीएमएसए बनाना

अब PowerShell का उपयोग करके gMSA बनाएं।

  1. डोमेन नियंत्रक पर व्यवस्थापक के रूप में Windows PowerShell खोलें।
  2. New-ADServiceAccount cmdlet का उपयोग करें: पॉवरशेल नया-ADServiceAccount -नाम gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagePassword "gMSA_Hosts_ServicoX"
    • स्पष्टीकरण: PrincipalsAllowedToRetrieveManagePassword पैरामीटर उस सुरक्षा समूह को निर्दिष्ट करता है जो gMSA पासवर्ड पुनर्प्राप्त कर सकता है। इस समूह में वे सर्वर होने चाहिए जो सेवा चलाएंगे।

4. होस्ट सर्वर पर जीएमएसए स्थापित करना और परीक्षण करना

उन सर्वरों पर जो जीएमएसए का उपयोग करेंगे, आपको इसे इंस्टॉल करना होगा और इसकी कार्यक्षमता का परीक्षण करना होगा।

  1. gMSA_Hosts_ServicoX समूह के प्रत्येक सर्वर सदस्य पर, Windows PowerShell को व्यवस्थापक के रूप में खोलें।
  2. जीएमएसए स्थापित करें: पॉवरशेल इंस्टाल-ADServiceAccount -पहचान gMSA_ServicoX
  3. परीक्षण करें कि जीएमएसए स्थापित है और कार्यशील है: पॉवरशेल परीक्षण-ADServiceAccount -पहचान gMSA_ServicoX
    • अपेक्षित परिणाम: आउटपुट True होना चाहिए, जो दर्शाता है कि gMSA सर्वर पर उपयोग के लिए तैयार है।

5. जीएमएसए को एक सेवा के साथ जोड़ना

  1. सर्वर पर जहां सेवा होगीएक बार निष्पादित होने पर, सर्विसेज कंसोल (services.msc) खोलें।
  2. उस सेवा का पता लगाएं जिसे आप कॉन्फ़िगर करना चाहते हैं।
  3. सेवा पर राइट-क्लिक करें, गुण चुनें।
  4. लॉग ऑन टैब में, यह खाता चुनें।
  5. यह खाता फ़ील्ड में, अपने gMSA का नाम और उसके बाद $ टाइप करें, उदाहरण के लिए: gMSA_ServicoX$
  6. पासवर्ड फ़ील्ड को खाली छोड़ दें। सक्रिय निर्देशिका स्वचालित रूप से पासवर्ड का प्रबंधन करेगी।
  7. लागू करें और ठीक पर क्लिक करें।
  8. परिवर्तनों को प्रभावी करने के लिए सेवा को पुनरारंभ करें।

6. निर्धारित कार्यों के साथ जीएमएसए का उपयोग करना

  1. सर्वर पर, टास्क शेड्यूलर (taskschd.msc) खोलें।
  2. एक नया कार्य बनाएं या किसी मौजूदा को संपादित करें।
  3. सामान्य टैब पर, उपयोगकर्ता या समूह बदलें... पर क्लिक करें।
  4. चयनित किए जाने वाले ऑब्जेक्ट का नाम दर्ज करें फ़ील्ड में, अपने जीएमएसए का नाम और उसके बाद $ दर्ज करें, उदाहरण के लिए: gMSA_ServicoX$
  5. नाम जांचें पर क्लिक करें और फिर ठीक पर क्लिक करें।
  6. पासवर्ड फ़ील्ड को खाली छोड़ दें।
  7. अन्य निर्धारित कार्य विकल्पों को कॉन्फ़िगर करें और ओके पर क्लिक करें।

सर्वोत्तम अभ्यास और सुरक्षा युक्तियाँ

  • न्यूनतम विशेषाधिकार का सिद्धांत: जीएमएसए को केवल अपना कार्य करने के लिए आवश्यक अनुमतियाँ प्रदान करें। डोमेन व्यवस्थापक विशेषाधिकारों के साथ gMSAs का उपयोग न करें।
  • समर्पित सुरक्षा समूह: यह नियंत्रित करने के लिए कि कौन से सर्वर जीएमएसए का उपयोग कर सकते हैं, PrincipalsAllowedToRetrieveManagePassword के लिए विशिष्ट सुरक्षा समूहों का उपयोग करें।
  • ऑडिट: किसी भी असामान्य गतिविधि का पता लगाने के लिए सक्रिय निर्देशिका सुरक्षा लॉग के माध्यम से जीएमएसए के उपयोग की निगरानी करें।
  • केडीएस रूट कुंजी सुरक्षा: सुनिश्चित करें कि डोमेन नियंत्रक सुरक्षित हैं, क्योंकि केडीएस रूट कुंजी जीएमएसए की सुरक्षा के लिए महत्वपूर्ण है।
  • पुराने सेवा खाते हटाएं: सेवाओं को जीएमएसए में स्थानांतरित करें और स्थिर पासवर्ड का उपयोग करने वाले पुराने सेवा खातों को अक्षम या हटा दें।
  • दस्तावेज़ीकरण: इस बात का रिकॉर्ड रखें कि कौन से जीएमएसए उपयोग में हैं, वे कौन सी सेवाएँ चलाते हैं, और किन सर्वरों पर।

निष्कर्ष

समूह प्रबंधित सेवा खाते (जीएमएसए) आपकी सक्रिय निर्देशिका सुरक्षा स्थिति को बेहतर बनाने के लिए एक महत्वपूर्ण घटक हैं, विशेष रूप से सेवा पहचान के प्रबंधन में। पासवर्ड रोटेशन को स्वचालित करके, वितरित वातावरण में तैनाती को सरल बनाकर, और कम से कम विशेषाधिकार के सिद्धांत के अनुप्रयोग को सुविधाजनक बनाकर, जीएमएसए हमले की सतह और प्रशासनिक जटिलता को काफी कम कर देता है। जीएमएसए का उचित कार्यान्वयन और प्रबंधन आपकी सेवाओं और अनुप्रयोगों को साइबर खतरों से बचाने के लिए महत्वपूर्ण कदम हैं।

सन्दर्भ

[1] माइक्रोसॉफ्ट। (2023)। सक्रिय निर्देशिका में समूह प्रबंधित सेवा खाते (जीएमएसए)। [2] माइक्रोसॉफ्ट। (2023)। प्रबंधित सेवा खातों का अवलोकन. [3] माइक्रोसॉफ्ट। (2023)। सक्रिय निर्देशिका कुंजी वितरण सेवा (केडीएस)