Sicherheit erhöhen mit Group Managed Service Accounts

Steigern Sie die Sicherheit mit Group Managed Service Accounts (gMSAs) und profitieren Sie von der automatisierten Verwaltung von Servicekonto-Anmeldeinformationen. Eingeführt mit Windows Server 2012, verbessern gMSAs die Sicherheit und reduzieren gleichzeitig den administrativen Aufwand, indem sie die Passwortverwaltung automatisieren und eine nahtlose Authentifizierung über mehrere Server hinweg gewährleisten.

Hauptvorteile von Group Managed Service Accounts

1. Automatisierte Passwortverwaltung: Im Gegensatz zu herkömmlichen Servicekonten generieren und aktualisieren gMSAs automatisch starke Passwörter, ohne dass menschliches Eingreifen erforderlich ist. Dies minimiert das Risiko sicherheitsrelevanter Passwortverletzungen.
2. Vereinfachte Kontoadministration: gMSAs machen manuelle Passwortänderungen überflüssig, reduzieren den administrativen Aufwand und gewährleisten einen unterbrechungsfreien Betrieb von Diensten.
3. Erhöhte Sicherheit:
   -Das Passwort wird von Active Directory (AD) verwaltet und kann von Benutzern nicht abgerufen werden, wodurch die Gefahr des Diebstahls von Anmeldeinformationen verringert wird.
   -gMSAs können mit Kerberos-Authentifizierung verwendet werden, was die Sicherheit weiter erhöht.
4. Unterstützung für mehrere Server: Im Gegensatz zu regulären Managed Service Accounts (MSAs), die auf eine einzelne Maschine beschränkt sind, können gMSAs auf mehreren Servern innerhalb einer AD-Domäne verwendet werden. Dies ist besonders nützlich für Dienste, die in Cluster- oder Lastverteilungsumgebungen betrieben werden.

Vorbereitung auf Group Managed Service Accounts

Bevor Group Managed Service Accounts (gMSAs) in einer Windows-Umgebung bereitgestellt werden, müssen bestimmte Voraussetzungen erfüllt sein, um eine reibungslose Implementierung zu gewährleisten.

Überprüfen Sie Ihre Active-Directory-Umgebung

gMSAs sind auf Active Directory (AD) zur Verwaltung von Anmeldeinformationen angewiesen. Stellen Sie sicher, dass:

• Ihre Domänencontroller mit Windows Server 2012 oder einer neueren Version betrieben werden
• Das Active Directory-Schema auf dem neuesten Stand ist
• Der Key Distribution Service (KDS) Root Key erstellt wurde

Um zu überprüfen, ob ein KDS Root Key existiert, führen Sie den folgenden PowerShell-Befehl aus:

Get-KdsRootKey

Wenn kein Schlüssel gefunden wird, erstellen Sie einen mit folgendem PowerShell-Befehl:

Add-KdsRootKey -EffectiveImmediately

Hinweis: Der Schlüssel wird standardmäßig erst nach 10 Stunden wirksam. Wenn Sie in einer Testumgebung arbeiten, verwenden Sie:

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

Installieren Sie das Active Directory PowerShell-Modul

Stellen Sie sicher, dass das Active Directory-Modul für PowerShell auf dem System installiert ist, auf dem Sie gMSAs verwalten möchten. Sie können es mit folgendem Befehl installieren:

Install-WindowsFeature -Name RSAT-AD-PowerShell

Wie Group Managed Service Accounts funktionieren

1. Erstellung: Ein Administrator erstellt ein gMSA in Active Directory mithilfe von PowerShell.
2. Zuweisung von Berechtigungen: Bestimmte Computer oder Dienste erhalten die Berechtigung, das gMSA abzurufen und zu verwenden.
3. Automatische Passwortrotation: Active Directory aktualisiert das Passwort in regelmäßigen Abständen automatisch.
4. Dienstkonfiguration:  Dienste wie IIS oder SQL Server werden so konfiguriert, dass sie unter dem gMSA-Konto ausgeführt werden.

Erstellen der gMSA-Sicherheitsgruppe

Gruppenverwaltete Dienstkonten (gMSAs) sind dafür konzipiert, mit einer Gruppe von Computerkonten verknüpft zu werden, die berechtigt sind, das Konto abzurufen und zu verwenden – daher der Name Group Managed Service Account.

Erstellen Sie zunächst eine neue Sicherheitsgruppe mit dem Namen „msa-Discover-Group“ in Active Directory, indem Sie den folgenden PowerShell-Befehl ausführen:

New-ADGroup -Name "msa-Discover-Group" -SamAccountName "msa-Discover-Group" -GroupScope Global -GroupCategory Security

Erstellen der gMSA

Um einen gMSA zu erstellen, verwenden Sie den PowerShell-Befehl New-ADServiceAccount. Das folgende Beispiel erstellt ein gMSA mit dem Namen „msa-Discover“ für die Domäne „JDisc-Internal.local“ und erlaubt den Mitgliedern der Gruppe „msa-Discover-Group“, das Passwort abzurufen.

New-ADServiceAccount -Name "msa-Discover" -DNSHostName "JDisc-Internal.local" -PrincipalsAllowedToRetrieveManagedPassword "msa-Discover-Group"

Computerkonten zur gMSA-Sicherheitsgruppe hinzufügen

Als Nächstes fügen Sie die Computerkonten der Sicherheitsgruppe „msa-Discover-Group“ hinzu, um ihnen Zugriff auf das gMSA zu gewähren. Im folgenden Beispiel wird ein einzelner Computer – der Domänencontroller „WIN-E91R8M04NVC“ – zur „msa-Discover-Group“ hinzugefügt.

Add-ADGroupMember -Identity "msa-Discover-Group" -Members "CN=WIN-E91R8M04NVC, OU=Domain Controllers,DC=JDISC-INTERNAL, DC=LOCAL"

Die gMSA auf einem Computer installieren

Um das Konto auf einem Server zu installieren und zu verwenden, führen Sie den folgenden PowerShell-Befehl aus:

Install-ADServiceAccount "msa-Discover"

Sie können den gMSA „msa-Discover“ nun verwenden, um Dienste wie den „JDisc Discovery Zero-Footprint Agent“, geplante Tasks und ähnliche Anwendungen auszuführen.

Einsatzmöglichkeiten für Group Managed Service Accounts

• Sichere Ausführung von IIS-Anwendungspools oder z.B. des JDisc Discovery Zero-Footprint Agent Service
• Verwaltung von SQL Server-Diensten ohne manuelle Passwortaktualisierungen
• Authentifizierung von Diensten in Active Directory-integrierten Umgebungen
• Absicherung von Aufgaben im Windows Task Scheduler

Fazit

Group Managed Service Accounts (gMSAs) bieten eine sichere, skalierbare und automatisierte Lösung zur Verwaltung von Servicekonten in Windows-Umgebungen. Durch den Einsatz von gMSAs können Sie den administrativen Aufwand reduzieren, die Passwortsicherheit erhöhen und die Zuverlässigkeit von Diensten verbessern – ohne dabei auf bewährte Sicherheitspraktiken zu verzichten. Kurz gesagt: Erhöhen Sie die Sicherheit mit Group Managed Service Accounts.