Active Directory'de Yönetilen Hizmet Hesaplarının (gMSA) Güvenliğini Sağlama

Active Directory'de Yönetilen Hizmet Hesaplarının (gMSA) Güvenliğini Sağlama

04/08/2025

Bu teknik ve eğitici makale, Active Directory'de Grup Yönetilen Hizmet Hesaplarının (gMSA) uygulanması ve güvenliğinin sağlanması konusunda güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine rehberlik etmeyi amaçlamaktadır. gMSA'lar, parola yönetimini otomatikleştirerek ve yönetimi basitleştirerek hizmet hesabı güvenliği sorunlarına güçlü bir çözüm sunar [1].

Giriş

Statik parolalara sahip geleneksel hizmet hesapları önemli bir risk oluşturur. gMSA'lar (Grup Yönetilen Hizmet Hesapları), MSA'ların (Yönetilen Hizmet Hesapları) işlevselliğini genişleterek, tek bir hizmet hesabının birden fazla sunucu tarafından kullanılmasına olanak tanır; Active Directory, manuel müdahale olmadan parola rotasyonunu ve anahtar dağıtımını otomatik olarak yönetir [2].

Bu pratik kılavuz, önkoşulları, gMSA'ları oluşturma ve yapılandırmayı, bunların hizmetler ve zamanlanmış görevlerle nasıl ilişkilendirileceğini ve hizmet hesaplarınızın verimli bir şekilde korunmasını ve yönetilmesini sağlamaya yönelik en iyi uygulamaları kapsayacaktır.

gMSA'lar neden önemlidir?

  • Otomatik Şifre Yönetimi: Karmaşık ve uzun şifreler, Active Directory tarafından her 30 günde bir otomatik olarak oluşturulur ve dönüşümlü olarak kullanılır.
  • Birden Çok Sunucuda Dağıtım: Tek bir gMSA birden çok sunucu tarafından kullanılabilir ve bu da dağıtılmış ortamlarda yönetimi basitleştirir.
  • En Az Ayrıcalık Prensibi: Gerekli minimum izinlerin verilmesini kolaylaştırır.
  • Geliştirilmiş Denetim: Hizmet kimlikleri açıkça tanımlanıp izlenebilir olduğundan denetimi basitleştirir.

Önkoşullar

  1. Windows Server 2012 veya üzeri sürümlere sahip Etki Alanı Denetleyicileri (DC'ler).
  2. Windows Server 2012 veya üzeri Etki Alanı İşlevsel Düzeyi (DFL).
  3. Windows PowerShell için Active Directory Modülü.
  4. gMSA'yı kullanacak Etki Alanı Üyesi Sunucular.
  5. Ana Bilgisayarlar için Güvenlik Grubu: Active Directory'de gMSA kullanacak sunucuları içerecek bir güvenlik grubu.

Adım Adım: gMSA'ları Uygulama ve Güvenliğini Sağlama

1. KDS Kök Anahtar Hizmetini Yapılandırma

Active Directory'nin gMSA'lara yönelik parolalar oluşturabilmesi için KDS Kök Anahtar Hizmeti gereklidir. Orman başına bir kez yapılandırılması gerekir [3].

  1. Windows PowerShell'i Etki Alanı Denetleyicisinde Yönetici olarak açın.
  2. KDS Kök Anahtar Hizmetinin önceden yapılandırılmış olup olmadığını kontrol edin: ```powershell Get-KdsRootKey ''''
  3. Hiçbir anahtar döndürülmezse yeni bir KDS Kök Anahtarı oluşturun. Üretim için, çoğaltmayı etkinleştirmek üzere Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) kullanın. Anında test için şunu kullanın: ```powershell Add-KdsRootKey -EffectiveHemen ''''

2. Ana Bilgisayarlar için Güvenlik Grubu Oluşturma

Bu grup gMSA şifresini kurtarmasına izin verilecek sunucuları içerecektir.

  1. Active Directory Kullanıcıları ve Bilgisayarları'nı (dsa.msc) açın.
  2. 'Global' kapsamına sahip yeni bir güvenlik grubu (örn. 'gMSA_Hosts_ServicoX') oluşturun ve 'Güvenlik' yazın.
  3. gMSA kullanacak bilgisayarları (sunucuları) bu gruba ekleyin (örn: ServidorApp01$, ServidorApp02$).

3. gMSA'yı oluşturma

Şimdi PowerShell kullanarak gMSA’yı oluşturalım.

  1. Windows PowerShell'i Etki Alanı Denetleyicisinde Yönetici olarak açın.
  2. 'Yeni-ADServiceAccount' cmdlet'ini kullanın: ```powershell Yeni ADServiceAccount -Ad gMSA_ServicoX -DNSHostName gMSA_ServicoX.contoso.com -PrincipalsAllowedToRetrieveManagedPassword "gMSA_Hosts_ServicoX" ''''
    • Açıklama: PrincipalsAllowedToRetrieveManagedPassword parametresi gMSA şifresini alabilecek güvenlik grubunu belirtir. Bu grup hizmeti çalıştıracak sunucuları içermelidir.

4. gMSA'yı Ana Bilgisayar Sunucularına Yükleme ve Test Etme

gMSA kullanacak sunucularda onu kurup işlevselliğini test etmeniz gerekmektedir.

  1. gMSA_Hosts_ServicoX grubunun her sunucu üyesinde, Windows PowerShell'i Yönetici olarak açın.
  2. gMSA'yı yükleyin: ```powershell Install-ADServiceAccount -Identity gMSA_ServicoX ''''
  3. gMSA'nın kurulu ve çalışır durumda olduğunu test edin: ```powershell Test-ADServiceAccount -Kimlik gMSA_ServicoX ''''
    • Beklenen Sonuç: Çıkış, gMSA'nın sunucuda kullanılmaya hazır olduğunu belirten "True" olmalıdır.

5. gMSA'yı bir Hizmetle İlişkilendirmek

  1. Hizmetin verileceği sunucudaÇalıştırıldıktan sonra Hizmetler konsolunu ("services.msc") açın.
  2. Yapılandırmak istediğiniz hizmeti bulun.
  3. Hizmeti sağ tıklayın ve Özellikler'i seçin.
  4. Oturum Aç sekmesinde Bu hesap'ı seçin.
  5. Bu hesap alanına, gMSA'nızın adını ve ardından bir "$" yazın, örneğin: "gMSA_ServicoX$".
  6. Şifre alanlarını boş bırakın. Active Directory şifreyi otomatik olarak yönetecektir.
  7. Uygula ve Tamam'ı tıklayın.
  8. Değişikliklerin etkili olması için hizmeti yeniden başlatın.

6. gMSA'yı Zamanlanmış Görevlerle Kullanma

  1. Sunucuda Görev Zamanlayıcı'yı (taskschd.msc) açın.
  2. Yeni bir görev oluşturun veya mevcut olanı düzenleyin.
  3. Genel sekmesinde Kullanıcı veya Grubu Değiştir... seçeneğine tıklayın.
  4. Seçilecek nesnenin adını girin alanına, gMSA'nızın adını ve ardından bir $ yazın, örneğin: gMSA_ServicoX$.
  5. Adları Kontrol Et'i ve ardından Tamam'ı tıklayın.
  6. Şifre alanlarını boş bırakın.
  7. Diğer zamanlanmış görev seçeneklerini yapılandırın ve Tamam'a tıklayın.

En İyi Uygulamalar ve Güvenlik İpuçları

  • En Az Ayrıcalık Prensibi: gMSA'ya yalnızca işlevini gerçekleştirmek için gerekli izinleri verin. gMSA'ları etki alanı yöneticisi ayrıcalıklarıyla kullanmayın.
  • Ayrılmış Güvenlik Grupları: Hangi sunucuların gMSA'yı kullanabileceğini kontrol etmek için PrincipalsAllowedToRetrieveManagedPassword için belirli güvenlik gruplarını kullanın.
  • Denetim: Herhangi bir anormal etkinliği tespit etmek için gMSA'ların kullanımını Active Directory güvenlik günlükleri aracılığıyla izleyin.
  • KDS Kök Anahtar Koruması: KDS Kök Anahtarı gMSA'ların güvenliği açısından kritik öneme sahip olduğundan Etki Alanı Denetleyicilerinin güvenli olduğundan emin olun.
  • Eski Hizmet Hesaplarını Kaldır: Hizmetleri gMSA'lara taşıyın ve statik şifreler kullanan eski hizmet hesaplarını devre dışı bırakın veya silin.
  • Belgeleme: Hangi gMSA'ların kullanıldığına, hangi hizmetleri çalıştırdıklarına ve hangi sunucularda olduğuna dair kayıt tutun.

Sonuç

Grup Yönetilen Hizmet Hesapları (gMSA), özellikle hizmet kimliklerini yönetmede Active Directory güvenlik duruşunuzu geliştirmek için hayati bir bileşendir. Parola rotasyonunu otomatikleştirerek, dağıtılmış ortamlarda dağıtımı basitleştirerek ve en az ayrıcalık ilkesinin uygulanmasını kolaylaştırarak gMSA'lar, saldırı yüzeyini ve yönetim karmaşıklığını önemli ölçüde azaltır. gMSA'ların doğru şekilde uygulanması ve yönetimi, hizmetlerinizi ve uygulamalarınızı siber tehditlere karşı korumak için önemli adımlardır.

Referanslar

[1] Microsoft. (2023). Active Directory'deki Grup Yönetilen Hizmet Hesapları (gMSA). [2] Microsoft. (2023). Yönetilen Hizmet Hesaplarına Genel Bakış. [3] Microsoft. (2023). Active Directory Anahtar Dağıtım Hizmeti (KDS).