Beveiliging van beheerde serviceaccounts (gMSA) in Active Directory

Beveiliging van beheerde serviceaccounts (gMSA) in Active Directory

04/08/2025

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het implementeren en beveiligen van Group Managed Service Accounts (gMSA) in Active Directory. gMSA's bieden een robuuste oplossing voor uitdagingen op het gebied van accountbeveiliging door wachtwoordbeheer te automatiseren en het beheer te vereenvoudigen [1].

Introductie

Traditionele serviceaccounts met statische wachtwoorden vormen een aanzienlijk risico. gMSA's (Group Managed Service Accounts) breiden de functionaliteit van MSA's (Managed Service Accounts) uit, waardoor een enkel serviceaccount door meerdere servers kan worden gebruikt, waarbij Active Directory automatisch de wachtwoordroulatie en sleuteldistributie beheert zonder handmatige tussenkomst [2].

Deze praktische gids behandelt de vereisten, het creëren en configureren van gMSA's, hoe u deze kunt koppelen aan services en geplande taken, en best practices om ervoor te zorgen dat uw serviceaccounts efficiënt worden beschermd en beheerd.

Waarom zijn gMSA's cruciaal?

  • Automatisch wachtwoordbeheer: Complexe en lange wachtwoorden worden automatisch elke 30 dagen gegenereerd en gerouleerd door Active Directory.
  • Implementatie op meerdere servers: Eén gMSA kan door meerdere servers worden gebruikt, waardoor het beheer in gedistribueerde omgevingen wordt vereenvoudigd.
  • Privilegeprincipe: vergemakkelijkt het verlenen van minimaal noodzakelijke machtigingen.
  • Verbeterde auditing: Vereenvoudigt auditing omdat service-identiteiten duidelijk gedefinieerd en traceerbaar zijn.

Vereisten

  1. Domeincontrollers (DC's) met Windows Server 2012 of hoger.
  2. Domain Functional Level (DFL) van Windows Server 2012 of hoger.
  3. Active Directory-module voor Windows PowerShell.
  4. Domeinlidservers die gMSA gebruiken.
  5. Beveiligingsgroep voor hosts: een beveiligingsgroep in Active Directory die de servers bevat die gMSA gebruiken.

Stap voor stap: gMSA's implementeren en beveiligen

1. De KDS Root Key-service configureren

De KDS Root Key Service is vereist zodat Active Directory wachtwoorden voor gMSA's kan genereren. Het moet één keer per forest worden geconfigureerd [3].

  1. Open Windows PowerShell als beheerder op een domeincontroller.
  2. Controleer of de KDS Root Key Service al is geconfigureerd: powershell Get-KdsRootKey
  3. Als er geen sleutel wordt geretourneerd, maakt u een nieuwe KDS-hoofdsleutel. Voor productie gebruikt u Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) om replicatie in te schakelen. Gebruik voor onmiddellijk testen: powershell Add-KdsRootKey - Direct effectief

2. De beveiligingsgroep voor hosts maken

Deze groep bevat de servers die het gMSA-wachtwoord mogen herstellen.

  1. Open Active Directory: gebruikers en computers (dsa.msc).
  2. Maak een nieuwe beveiligingsgroep (bijvoorbeeld gMSA_Hosts_ServicoX) met bereik Global en typ Security.
  3. Voeg de computers (servers) die gMSA gebruiken toe aan deze groep (bijvoorbeeld: ServidorApp01$, ServidorApp02$).

3. De gMSA aanmaken

Laten we nu de gMSA maken met PowerShell.

  1. Open Windows PowerShell als beheerder op een domeincontroller.
  2. Gebruik de cmdlet 'New-ADServiceAccount': powershell Nieuw-ADServiceAccount -Naam gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX"
    • Uitleg: De parameter PrincipalsAllowedToRetrieveManagedPassword specificeert de beveiligingsgroep die het gMSA-wachtwoord kan ophalen. Deze groep moet de servers bevatten die de service uitvoeren.

4. gMSA installeren en testen op hostservers

Op servers die gMSA gebruiken, moet u het installeren en de functionaliteit ervan testen.

  1. Open op elk serverlid van de groep gMSA_Hosts_ServicoX Windows PowerShell als beheerder.
  2. Installeer gMSA: powershell Installeren-ADServiceAccount -Identiteit gMSA_ServicoX
  3. Test of de gMSA is geïnstalleerd en functioneert: powershell Test-ADServiceAccount -Identiteit gMSA_ServicoX
    • Verwacht resultaat: de uitvoer moet True zijn, wat aangeeft dat gMSA klaar is om op de server te worden gebruikt.

5. De gMSA aan een service koppelen

  1. Op de server waar de dienst zal staanEenmaal uitgevoerd, opent u de Services-console (services.msc).
  2. Zoek de service die u wilt configureren.
  3. Klik met de rechtermuisknop op de service en selecteer Eigenschappen.
  4. Selecteer op het tabblad Aanmelden Deze account.
  5. Typ in het veld Dit account de naam van uw gMSA gevolgd door $, bijvoorbeeld: gMSA_ServicoX$.
  6. Laat de wachtwoordvelden leeg. Active Directory beheert het wachtwoord automatisch.
  7. Klik op Toepassen en OK.
  8. Start de service opnieuw om de wijzigingen door te voeren.

6. gMSA gebruiken met geplande taken

  1. Open Taakplanner (taskschd.msc) op de server.
  2. Maak een nieuwe taak of bewerk een bestaande taak.
  3. Klik op het tabblad Algemeen op Gebruiker of groep wijzigen....
  4. Voer in het veld Voer de naam in van het te selecteren object de naam van uw gMSA in, gevolgd door $, bijvoorbeeld: gMSA_ServicoX$.
  5. Klik op Namen controleren en vervolgens op OK.
  6. Laat de wachtwoordvelden leeg.
  7. Configureer de andere geplande taakopties en klik op OK.

Best practices en beveiligingstips

  • Privilegeprincipe: Verleen gMSA alleen de machtigingen die nodig zijn om zijn functie uit te voeren. Gebruik geen gMSA's met domeinbeheerdersrechten.
  • Speciale beveiligingsgroepen: gebruik specifieke beveiligingsgroepen voor PrincipalsAllowedToRetrieveManagedPassword om te bepalen welke servers gMSA kunnen gebruiken.
  • Audit: controleer het gebruik van gMSA's via Active Directory-beveiligingslogboeken om eventuele afwijkende activiteiten te detecteren.
  • KDS Root Key Protection: Zorg ervoor dat domeincontrollers veilig zijn, aangezien de KDS Root Key van cruciaal belang is voor de beveiliging van gMSA's.
  • Oude serviceaccounts verwijderen: Migreer services naar gMSA's en schakel oude serviceaccounts uit of verwijder ze die statische wachtwoorden gebruikten.
  • Documentatie: houd bij welke gMSA's in gebruik zijn, welke services ze uitvoeren en op welke servers.

Conclusie

Group Managed Service Accounts (gMSA) zijn een essentieel onderdeel voor het verbeteren van uw Active Directory-beveiligingspositie, vooral bij het beheren van service-identiteiten. Door de wachtwoordrotatie te automatiseren, de implementatie in gedistribueerde omgevingen te vereenvoudigen en de toepassing van het principe van de minste privileges te vergemakkelijken, verminderen gMSA's het aanvalsoppervlak en de administratieve complexiteit aanzienlijk. Een goede implementatie en beheer van gMSA's zijn cruciale stappen om uw diensten en applicaties te beschermen tegen cyberdreigingen.

Referenties

[1]Microsoft. (2023). Groepsbeheerde serviceaccounts (gMSA) in Active Directory. [2]Microsoft. (2023). Overzicht van beheerde serviceaccounts. [3]Microsoft. (2023). Active Directory Key Distribution Service (KDS).