Account dei servizi gestiti di gruppo

Gli account del servizio gestito di gruppo sono account di dominio per contribuire a proteggere i servizi. Gli account del servizio gestito di gruppo possono essere eseguiti in un server o in una server farm, ad esempio i sistemi dietro un server di bilanciamento del carico di rete o Internet Information Services (IIS). Dopo aver configurato i servizi per l'uso di un'entità del servizio gestito del gruppo, la gestione delle password dell'account viene gestita dal sistema operativo Windows.

Vantaggi degli account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono una soluzione di gestione delle identità con maggiore sicurezza che contribuisce a ridurre il sovraccarico amministrativo:

  • Impostare password complesse - Password da 240 byte generate in modo casuale: la complessità e la lunghezza delle password gMSA riducono al minimo la probabilità di compromissione causata da attacchi di forza bruta o dizionario
  • Cicla le password regolarmente: la gestione delle password passa al sistema operativo Windows, che modifica la password ogni 30 giorni. Gli amministratori del servizio e del dominio non devono pianificare le modifiche delle password o gestire le interruzioni del servizio.
  • Supportare la distribuzione nelle server farm: distribuire gMSA in diversi server per supportare soluzioni con bilanciamento del carico in cui più host eseguono lo stesso servizio
  • Supportare la gestione semplificata del nome dell'entità servizio (SPN): configurare un SPN con PowerShell quando si crea un account.
    • Inoltre, i servizi che supportano registrazioni SPN automatiche potrebbero eseguire questa operazione rispetto all'account del servizio gestito del gruppo, se le autorizzazioni del servizio gestito del gruppo sono impostate correttamente.

Utilizzo di gMSA

Usare gli account del servizio gestito del gruppo come tipo di account per i servizi locali, a meno che un servizio, ad esempio il clustering di failover, non lo supporti.

Importante

Testare il servizio con gli account del servizio gestito del gruppo prima di passare all'ambiente di produzione. Configurare un ambiente di test per assicurarsi che l'applicazione usi l'account del servizio gestito del gruppo, quindi accede alle risorse. Per altre informazioni, vedere Supporto per account di servizi gestiti di gruppi.

Se un servizio non supporta gli account del servizio gestito del gruppo, è possibile usare un account del servizio gestito autonomo (sMSA). Un sMSA ha la stessa funzionalità, ma è destinata alla distribuzione in un singolo server.

Se non è possibile usare un account del servizio gestito del gruppo o sMSA supportato dal servizio, configurare il servizio per l'esecuzione come account utente standard. Gli amministratori del servizio e del dominio devono osservare i processi di gestione delle password complesse per contribuire a proteggere l'account.

Valutare la postura di sicurezza dell'account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono più sicuri rispetto agli account utente standard, che richiedono una gestione continua delle password. Si consideri tuttavia l'ambito dell'accesso del servizio gestito del gruppo in relazione alla postura di sicurezza. Nella tabella seguente sono illustrati i potenziali problemi di sicurezza e le mitigazioni per l'uso di account del servizio gestito del gruppo:

Problema di sicurezza Strategia di riduzione del rischio
gMSA è un membro dei gruppi con privilegi - Rivedere le appartenenze ai gruppi. Creare uno script di PowerShell per enumerare le appartenenze ai gruppi. Filtrare il file CSV risultante in base ai nomi di file gMSA
- Rimuovere il gMSA da gruppi con privilegi
Concedere i diritti e le autorizzazioni gMSA necessari per eseguire il servizio. Vedere il fornitore del servizio.
gMSA ha accesso in lettura/scrittura alle risorse sensibili - Controllare l'accesso alle risorse sensibili
- Archiviare i log di audit a un sistema SIEM, ad esempio Azure Log Analytics o Microsoft Sentinel
- Rimuovere le autorizzazioni delle risorse non necessarie se è presente un livello di accesso non necessario

Trovare gMSA

Contenitore account del servizio gestito

Per funzionare in modo efficace, gli account del servizio gestito devono trovarsi nel contenitore Account del servizio gestito in Utenti e computer di Active Directory.

Per trovare gli account del servizio non presenti nell'elenco, eseguire i comandi seguenti:


Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Gestire gli account del servizio gestito del gruppo

Per gestire gli account del servizio gestito del gruppo, usare i cmdlet di PowerShell di Active Directory seguenti:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Nota

In Windows Server 2012 e versioni successive i cmdlet *-ADServiceAccount funzionano con gli account del servizio gestito del gruppo. Ulteriori informazioni: Introduzione agli account del servizio gestiti del gruppo.

Passare a un account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono un tipo di account del servizio sicuro per l'ambiente locale. È consigliabile usare gli account del servizio gestito del gruppo, se possibile. È anche consigliabile spostare i servizi in Azure e negli account del servizio in Microsoft Entra ID.

Nota

Prima di configurare il servizio per l'uso dell'account del gMSA, vedere Introduzione agli account del servizio gestito del gruppo.

Per passare a un account del servizio gestito del gruppo:

  1. Verificare che la chiave radice del servizio di distribuzione chiavi (KDS) sia distribuita nella foresta. Si tratta di un'operazione una tantum. Vedere Creare la chiave radice di Key Distribution Services (KDS).
  2. Creare un nuovo account del servizio gestito del gruppo. Vedere Introduzione agli account del servizio gestiti del gruppo.
  3. Installare il nuovo account del servizio gestito del gruppo negli host che eseguono il servizio.
  4. Modificare l'identità del servizio in account del servizio gestito del gruppo.
  5. Specificare una password vuota.
  6. Verificare che il servizio funzioni con la nuova identità del servizio gestito del gruppo.
  7. Eliminare l'identità dell'account del servizio precedente.

Passaggi successivi

Per altre informazioni sulla protezione degli account del servizio, vedere gli articoli seguenti: