Verwendung von gMSAs zur agentenlosen Netzwerk Discovery

Dies wird nun der letzte Blogartikel über gMSAs sein – hoffentlich. Tatsächlich war es ein JDisc Kunde, der fragte, ob JDisc Discovery gMSAs unterstützt. Damals antwortete ich auf die Frage mit einer anderen Frage: „Was sind gMSAs?“ In diesem Blog-Artikel werde ich Ihnen erklären, was für die Verwendung von gMSAs zur agentenlosen Netzwerk Discovery erforderlich ist.

Erste Schritte mit gMSAs

Ursprünglich wollte ich das Thema nur erforschen und etwas Licht ins Dunkel bringen – denn ich wusste nicht viel über gMSAs. In den folgenden Tagen untersuchte ich gMSAs und schrieb den ersten Artikel Sicherheit erhöhen mit Group Managed Service Accounts mit meinen Erkenntnissen. Basierend darauf habe ich einige offensichtliche Anwendungen für gMSAs gefunden, wie z.B. den JDisc Discovery Zero-Footprint Agent Service. Es stellte sich heraus, dass sich gMSAs  gut in Kombination mit Windows Geräte ohne Administrative Rechte inventarisieren einsetzen lasse, was in diesem ätlteren Blog-Artikel beschrieben wird.

Vertiefung des Verständnisses von gMSAs

Da es inzwischen zwei Artikel über gMSAs und einen weiteren über die Erhöhung von Privilegien für die Discovery von Windows Computern gibt, habe ich diese in einem einzigen neuen Blog-Artikel Sichere Windows Computer Discovery ohne lokale Adminrechte – mit gruppenverwalteten Dienstkonten (gMSAs) zusammengefasst und verlinkt. Das habe ich getan, damit Sie ihn leichter lesen und auf Ihre IT-Infrastruktur anwenden können. Dies war der Zeitpunkt, an dem ich dachte, das Thema ist gut genug abgedeckt.

Erprobung von gMSAs für agentenlose Netzwerk Discovery

Dennoch war ich mit den Ergebnissen nicht ganz zufrieden – vor allem, weil JDisc Discovery eine agentenlose Lösung ist und gMSAs nicht direkt als Zugangsdaten für Windows-Systeme verwendbar zu sein schienen.

Bei Microsoft LAPS haben wir erfolgreich eine Integration mit Active Directory durchgeführt, um die von LAPS verwalteten Konten als Zugangsdaten für JDisc Discovery zu verwenden. Das brachte mich zu der Frage, ob wir das Gleiche mit gMSAs tun könnten, die automatisch auf Domänenebene verwaltet werden – einschließlich Passwortrotation – im Gegensatz zu LAPS, das Konten nur auf lokaler Ebene verwaltet.

Einmal mehr habe ich untersucht, ob gMSAs in einer Windows-Domänenumgebung über das Netzwerk authentifiziert werden können. Es stellte sich heraus, dass sie das können – wenn bestimmte Bedingungen erfüllt sind. Was ist also nötig, damit gMSAs für die agentenlose Ermittlung funktionieren?

Anforderungen für die Ermöglichung von gMSAs mit agentenloser Netzwerk Discovery

Damit gMSAs richtig funktionieren, muss Ihre Windows Active Directory-Domänenumgebung folgende Kriterien erfüllen:

• Das Kerberos-Authentifizierungsprotokoll verwenden. Wie Sie vielleicht schon wissen, stellt Microsoft das NTLM (NT LAN Manager)-Protokoll schrittweise zugunsten von sichereren Optionen wie Kerberos ein. Der Umstieg auf Kerberos ist ein kluger Schritt, unabhängig davon, ob Sie gMSAs verwenden wollen oder nicht.
• Eine ordnungsgemäße DNS-Namensauflösung – sowohl Forward als auch Reverse Lookup. Wahrscheinlich sind Sie sich dessen bewusst und haben Ihr DNS richtig konfiguriert.
• Jeder Computer muss einen Service Principal Name (SPN) für die Dienstklasse Host oder RestrictedKrbHost haben, der normalerweise automatisch den Computerkonten in Active Directory zugewiesen wird.

Nachdem Sie nun wissen, wie Sie Ihre Windows Active Directory Domänenumgebung für gMSAs vorbereiten, besteht der nächste Schritt darin, einen gMSA zu erstellen und diesen mit einer globalen Windows Domänengruppe zu verknüpfen.

Erstellen eines gMSA und einer globalen Windows-Domänengruppe

Ein gruppenverwaltetes Dienstkonto (gMSA) ist eine Art verwaltetes Dienstkonto, das innerhalb einer Windows-Domäne verwendet wird. Wie der Name schon andeutet, handelt es sich dabei um eine globale Windows-Domänengruppe, die eine Reihe von Windows-Computerkonten umfasst, die das Kennwort des gMSAs abrufen können. Außerdem muss ein gMSA auf einem Computer installiert sein, damit dieser sich über das Konto authentifizieren kann.

Die folgende Abbildung zeigt ein typisches gMSA Windows Ökosystem:

Jetzt ist die Zeit, praktische Erfahrungen mit gMSAs zu sammeln. Dieser Blog-Artikel führt Sie durch alle erforderlichen Konfigurationsschritte: Sicherheit erhöhen mit Group Managed Service Accounts.

Bitte folgen Sie der Anleitung im Blog-Artikel und stellen Sie sicher, dass der gMSA „msa-Discover“ nicht nur auf Ihrem Discovery Server installiert ist, sondern auch auf allen Windows Computern, die Sie mit dem „msa-Discover“ Konto discovern möchten.

Zum Schluss: Nachdem Sie die gMSA auf allen Windows-Rechnern installiert haben, auf denen sie verwendet werden soll, stellen Sie sicher, dass der gMSA zur lokalen Administratorengruppe hinzugefügt wird.

Sie sind jetzt vorbereitet, gMSAs für die agentenlose Netzwerk Discovery zu verwenden und in zu konfigurieren. Fahren wir mit der JDisc Discovery-Konfiguration fort.

Einen gMSA zur Discovery Konfiguration hinzufügen

Am einfachsten konfigurieren Sie einen gMSA bei der Directory Discovery.

Navigieren Sie zum Scope > Directory Tab und wählen Sie die Verzeichnisobjekte aus, für die der gMSA als Zugangsberechtigung für die Discovery konfiguriert werden soll.

Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf die Schaltfläche Change Account , um den Dialog Modify Directory Object Account zu öffnen.

Geben Sie den gMSA im Feld User name an und hängen Sie ein Dollarzeichen ($) an, um sicherzustellen, dass es von der Discovery korrekt als gMSA interpretiert wird.

Lassen Sie das Feld Password leer, da das gMSA-Kennwort während der Authentifizierung dynamisch vom System abgerufen wird.

Installieren Sie den gMSA auf allen Computern innerhalb der ausgewählten Verzeichnisobjekte, damit alles ordnungsgemäß funktioniert.

Und das war’s – Sie haben einen gMSA erfolgreich für die agentenlose Discovery konfiguriert. Führen Sie nun einen Discovery Job aus, um ihn in Aktion zu sehen!

Einen Discovery Job ausführen

Wenn Sie einen Discovery Job ausführen, wird das „JDISC-INTERNAL\MSA-DISCOVER$“ Gruppenverwaltungsdienstkonto (gMSA) automatisch zur Authentifizierung und zum Herstellen von Verbindungen mit Windows-Computern verwendet, die zu den Verzeichnisobjekten „Computer“ und “Domänencontroller” innerhalb der Domäne „JDISC-INTERNAL“ gehören.

Jetzt schauen wir uns einen Computer an, der mit dem “JDISC-INTERNAL\MSA-DISCOVER$” (gMSA) gescannt wurde.

Über den Kontextmenüeintrag Change Accounts wird der Dialog Modify Accounts aufgerufen.

Wie Sie sehen können, wird „JDISC-INTERNAL\MSA-DISCOVER$“ (gMSA) in den Abschnitten User Account und Admin/Root Account angezeigt. Dabei handelt es sich um das lokal zwischengespeicherte Konto, das während des Discovery Prozess zur Authentifizierung und zum Aufbau der Verbindung mit dem Windows Computer verwendet wurde.

Am wichtigsten ist, dass es kein Passwort zu erkennen ist, was zu erwarten ist, da es keines gibt.

Mit diesem letzten Artikel über Group Managed Service Accounts (gMSAs) schließt sich der Kreis – von der ersten Begegnung mit dem Konzept durch eine Kundenanfrage bis zur erfolgreichen Implementierung von gMSAs als Zugangsberechtigung in JDisc Discovery. Was als einfache Anfrage begann, entwickelte sich zu einer tiefgreifenden Untersuchung, die sich über mehrere Blog-Posts erstreckte und die Grundlagen von gMSAs, ihre Sicherheitsvorteile und ihre Verwendung in der agentenlosen Discovery behandelte. Während dieses Prozesses untersuchte ich die notwendigen Voraussetzungen, Domänenkonfigurationen, Kontoeinstellungen und praktische Einsatzschritte.

Heute ist JDisc Discovery in der Lage, sich mit Hilfe von gMSAs sicher an Windows-Systemen zu authentifizieren, so dass die Notwendigkeit der manuellen Passwortverwaltung entfällt. Ich hoffe, dass Ihnen diese Blog Artikel wertvolle Einblicke in das Potential von gMSAs gegeben haben. Bestimmt können Sie damit auch die Sicherheit und Effizienz beim Scan Ihrer Windows Computer mit JDisc Discovery verbessern.

Viele Grüße
Thomas