Обзор делегированных управляемых учетных записей служб

  • Статья

Внимание

Сборки предварительной оценки Windows Server находятся в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Новый тип учетной записи, известный как делегированная управляемая учетная запись службы (dMSA), представлен в предварительной версии программы предварительной оценки Windows Server, которая позволяет переходить с традиционной учетной записи службы на учетную запись компьютера с управляемыми и полностью случайными ключами, отключая исходные пароли учетных записей службы. Проверка подлинности для dMSA связана с удостоверением устройства, что означает, что только указанные удостоверения компьютера, сопоставленные в AD, могут получить доступ к учетной записи. Использование DMSA помогает предотвратить сбор учетных данных с помощью скомпрометированных учетных записей (kerberoasting), что является распространенной проблемой с традиционными учетными записями служб.

Сравнение dMSA и gMSA

DMSAs и gMSAs — это два типа управляемых учетных записей служб, которые используются для запуска служб и приложений в Windows Server. DMSA управляется администратором и используется для запуска службы или приложения на определенном сервере. GMSA управляется AD и используется для запуска службы или приложения на нескольких серверах. Оба предложения обеспечивают улучшенную безопасность и упрощенное управление паролями. DMSA отличается по следующим значениям:

  • Использование концепций gMSA для ограничения области использования с помощью Credential Guard (CG) для привязки проверки подлинности компьютера.
  • CG можно использовать для повышения безопасности в dMSA путем автоматического смены паролей и привязки всех билетов учетной записи службы. Устаревшие учетные записи затем отключены для дальнейшего повышения безопасности.
  • Хотя gMSAs защищены с помощью машинного создания и автоматического ввода паролей, пароли по-прежнему не привязаны к компьютеру и могут быть украдены.

Функциональные возможности dMSA

dMSA позволяет пользователям создавать их как автономную учетную запись или заменять существующую стандартную учетную запись службы. Когда dMSA заменяет существующую учетную запись, проверка подлинности в этой существующей учетной записи с помощью пароля будет заблокирована. Запрос перенаправляется в локальный центр безопасности (LSA), чтобы пройти проверку подлинности с помощью dMSA, которая имеет доступ ко всем предыдущим учетным записям, к которым можно получить доступ в AD.

Во время миграции dMSA автоматически узнает устройства, на которых будет использоваться учетная запись службы, которая затем используется для перемещения со всех существующих учетных записей служб.

dMSA использует случайный секрет (производный от учетных данных учетной записи компьютера), который хранится контроллером домена (DC) для шифрования билетов. Секрет можно дополнительно защитить, включив CG. Хотя секреты, используемые dMSA, периодически обновляются в эпоху, например gMSA, ключевое отличие заключается в том, что секрет dMSA не может быть получен или найден где-либо, кроме контроллера домена.

Поток миграции для dMSA

Быстрая концепция процесса потока миграции для dMSA включает следующие действия.

  1. Политику CG можно настроить для защиты удостоверения компьютеров.
  2. Администратор запускает и завершает миграцию учетной записи службы.
  3. Учетная запись службы обновляет сервер предоставления билетов (TGT).
  4. Учетная запись службы добавляет удостоверение компьютера для разрешения принципов.
  5. Исходная учетная запись службы становится отключенной.

Обратите внимание на следующие моменты при переносе DMSAs:

  • Невозможно выполнить миграцию из управляемой учетной записи службы или gMSA в dMSA.
  • Подождите по крайней мере два времени существования билета (эквивалентно 14 дням) после изменения дескриптора безопасности (SD) перед завершением миграции dMSA. Рекомендуется сохранить службу в состоянии начала в течение четырех времен существования билета (28 дней). Отложите миграцию, если контроллеры домена секционированы или репликация нарушены во время подключения.
  • Обратите внимание на сайты, в которых задержки репликации превышают время продления билета по умолчанию в течение 10 часов. Атрибут groupMSAMembership проверяется и обновляется при каждом продлении билета, а при каждом входе в исходную учетную запись службы во время состояния "начать миграцию", которая добавляет учетную запись компьютера в группу GROUPMSAMembership dMSA.
    • Например, два сайта используют одну и ту же учетную запись службы, и каждый цикл репликации занимает более 10 часов в течение всего времени существования билета. В этом сценарии членство в группе теряется во время начальных циклов репликации.
  • Миграция требует доступа к контроллеру домена чтения и записи (RWDC) для запроса и изменения SD.
  • Без ограничений делегирование перестает работать после завершения миграции, если старая учетная запись службы использовала ее. Если вы используете dMSA, защищенную CG, не ограничено делегирование перестает работать. Дополнительные сведения см. в статье "Рекомендации и известные проблемы при использовании Credential Guard".

Предупреждение

Если вы собираетесь перейти на dMSA, все компьютеры, использующие учетную запись службы, необходимо обновить для поддержки dMSA. Если это не так, компьютеры, не поддерживающие dMSA, завершаются сбоем проверки подлинности с существующей учетной записью службы после отключения учетной записи во время миграции.

Атрибуты учетной записи для dMSA

В этом разделе описывается, как атрибуты для изменений dMSA в схеме AD. Эти атрибуты можно просматривать с помощью оснастки Пользователи и компьютеры Active Directory или запуска редактирования ADSI в контроллере домена.

Примечание.

Числовые атрибуты, заданные для учетной записи, указывают:

  • 1 . Миграция учетных записей началась.
  • 2 . Миграция учетной записи завершена.

При выполнении Start-ADServiceAccountMigration выполняются следующие изменения:

  • Учетная запись службы предоставляется универсальному чтению для всех свойств dMSA.
  • Учетная запись службы предоставляется свойству Write в msDS-groupMSAMembership
  • msDS-DelegatedMSAState изменяется на 1
  • msDS-ManagedAccountPrecededByLink имеет учетную запись службы.
  • msDS-SupersededAccountState изменяется на 1
  • msDS-SupersededManagedServiceAccountLink имеет значение dMSA

При выполнении Complete-ADServiceAccountMigration выполняются следующие изменения:

  • Учетная запись службы удаляется из универсального чтения ко всем свойствам dMSA
  • Учетная запись службы удаляется из свойства Write в атрибуте msDS-GroupMSAMembership
  • MsDS-DelegatedMSAState имеет значение 2
  • Имена субъектов-служб (SPN) копируются из учетной записи службы в учетную запись dMSA.
  • msDS-AllowedToDelegateTo копируется, если применимо
  • msDS-AllowedToActOnBehalfOfOtherIdentity дескриптор безопасности копируется при необходимости.
  • Назначенная политика AuthN, msDS-AssignedAuthnPolicy, учетной записи службы копируются поверх
  • DMSA добавляется в любые серверы политики AuthN, в которые учетная запись службы была членом
  • Доверенный бит контроля учетных записей проверки подлинности для делегирования (UAC) копируется, если он был установлен в учетной записи службы.
  • msDS-SupersededServiceAccountState имеет значение 2
  • Учетная запись службы отключена с помощью бита отключения UAC
  • Имя участника-службы удаляется из учетной записи.

См. также

Настройка делегированных управляемых учетных записей служб