gMSA-Leitfaden: Sicherheit und Bereitstellung von gruppenverwalteten Dienstkonten

Datensicherheit

Illustration verschiedener Benutzerkonten

In jedem Unternehmen gibt es eine Reihe von automatisierten Aufgaben, Anwendungen oder Geräten, die im Hintergrund eines jeden Geräts in einem Netzwerk laufen. Solche automatisierten Prozesse lassen sich mit am besten mit gMSAs (Group Managed Service Accounts, gruppenverwaltete Dienstkonten) verwalten und sichern.

In diesem Artikel erläutern wir, was gMSAs sind, warum sie wichtig sind und wie Sie gMSAs für Ihr Netzwerk und Ihre Organisation erstellen können.

Was sind gMSAs?

Gruppenverwaltete Dienstkonten oder gMSAs sind ein Typ von verwalteten Dienstkonten, der mehr Sicherheit bietet als herkömmliche verwaltete Dienstkonten für automatisierte, nicht interaktive Anwendungen, Dienste, Prozesse oder Aufgaben, für den jedoch weiterhin Anmeldeinformationen erforderlich sind.

GMSAs sind verfügbar auf Computern, auf denen Windows Server 2012 oder höher ausgeführt wird. Sie haben sMSAs (Single Managed Service Accounts, auch bekannt als MSAs, also verwaltete Dienstkonten) weitgehend ersetzt, da sie auf mehreren Servern verwendet werden können und mehrere automatisierte Aufgaben ausführen können.

Warum sind Dienstkonten und gMSAs wichtig?

Dienstkonten sind im Allgemeinen wichtig, weil sie ein nicht personenbezogenes Konto bereitstellen, das einen Sicherheitskontext für eine beliebige Anzahl von Hintergrunddiensten für Geräte mit Windows-Betriebssystem bietet.

Ohne angemessene Sicherheitsvorkehrungen können diese Hintergrunddienste von Hackern ins Visier genommen und ausgenutzt werden, die versuchen, über Ihre Geräte in Ihr Netzwerk einzudringen. Verwaltete Dienstkonten sind im Rahmen des laufenden Sicherheitsmanagements für Ihr Unternehmen von großem Nutzen.

Vorteile von gMSAs

GMSAs bieten eine Reihe von Sicherheitsvorteilen sowie mehr Kontrolle über Ihre Dienstkonten.

  • Mehrere Server: Im Gegensatz zu herkömmlichen MSAs oder sMSAs können Ihre Dienste und Aufgaben auf mehreren Servern eingerichtet und ausgeführt werden – eine Notwendigkeit angesichts der Art und Weise, wie Unternehmen heute betrieben werden.
  • Automatisierte Passwortverwaltung: Einfach ausgedrückt entfernen gMSAs den Mittelsmann (also Sie) aus der Gleichung für Passwörter. Diese werden dann automatisch generiert, vom Betriebssystem verarbeitet und sogar regelmäßig gewechselt.
  • Passwörter werden vom Betriebssystem verwaltet: Wenn Anwendungen ein Passwort benötigen, fragen sie das Active Directory ab. So müssen Sie das Passwort nicht einmal kennen, wodurch es ungleich schwieriger wird, dass das Passwort jemals kompromittiert werden kann.
  • Sie können die Verwaltung an andere Administratoren delegieren: Die Flexibilität der delegierten Verwaltung kann extrem praktisch sein, um sicherzustellen, dass nicht nur ein einziger Administrator für die Sicherheit Ihrer Dienstkonten verantwortlich ist.

Finden und Verwalten von gMSAs

Möglicherweise hat Ihr Unternehmen bereits gMSAs erstellt, mit denen Sie Ihre Dienstkonten sofort verwalten können. Ihre MSAs zu finden ist ein relativ einfacher Prozess.

Finden von gMSAs

Führen Sie in der PowerShell-Konsole die folgenden Eingaben aus.

Get-ADServiceAccount 

Install-ADServiceAccount 

New-ADServiceAccount 

Remove-ADServiceAccount 

Set-ADServiceAccount 

Test-ADServiceAccount 

Uninstall-ADServiceAccount

Sie sollten alle gMSAs unter „Benutzer und Computer von Active Directory“ innerhalb des Ordners Verwaltete Dienstkonten oder innerhalb der OE (Organisationseinheit) sehen können. Ihnen sollte Folgendes angezeigt werden:

Einrichten von gMSAs

Es gibt eine Reihe von Möglichkeiten, eine gMSA einzurichten, sowie eine Reihe von Voraussetzungen. Hier teilen wir dievon Microsoft beschriebene Methode.

Wie bereits erwähnt sind gMSAs nur für Windows Server 2012 oder höhere Versionen verfügbar. Um gMSAs zu verwalten, müssen Sie Powershell-Befehle ausführen, die eine 64-Bit-Architektur erfordern. MSAs sind abhängig von Kerberos-unterstützten Verschlüsselungstypen und alle Verschlüsselungsstandards wie AES sollten für MSAs konfiguriert werden.

Bevor Sie loslegen: 

  • Stellen Sie sicher, dass Ihr Gesamtstrukturschema auf Windows Server 2012 aktualisiert ist.
  • Stellen Sie sicher, dass Sie einen Hauptstammschlüssel für Active Directory bereitgestellt haben.
  • Sie sollten in Ihrer Domain, in der Sie die gMSA erstellen werden, über mindestens einen Windows Server 2012 DC verfügen.

Eine vollständige Liste aller Anforderungen, Voraussetzungen und zusätzlichen Schritte finden Sie auf dieser Dokumentationsseite von Microsoft.

Sie können gMSAs mit dem cmdlet „New-ADServiceAccount“ erstellen. Wenn Sie AD PowerShell nicht installiert haben, öffnen Sie „Rollen und Funktionen hinzufügen“ im „Server-Manager“, gehen Sie auf „Funktionen“, suchen Sie nach „RSAT“ und wählen Sie das Active-Directory-Modul für Windows PowerShell aus.

Schritt 1: Führen Sie Windows PowerShell über die Taskleiste auf Ihrem Domain-Controller auf Windows Server 2012 aus.

Schritt 2: Geben Sie in der Eingabeaufforderung Folgendes ein:

New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

Die Parameter in Klammern können Sie folgendermaßen ausfüllen:

Name: Der Name Ihres Kontos

DNS Host Name: Der DNS-Hostname des Dienstes

Kerberos Encryption Type: Der Verschlüsselungstyp, der von den Host-Servern unterstützt wird

Managed Password Interval In Days: Wie oft das Kennwort geändert werden soll (standardmäßig sind es 30 Tage – denken Sie daran, dass die Änderung von Windows vorgenommen wird)

* Hinweis: Dies kann nicht mehr geändert werden, nachdem die gMSA erstellt wurde. Um das Intervall zu ändern, müssen Sie eine neue gMSA erstellen und ein neues Intervall festlegen.

Principals Allowed To Retrieve Managed Password: Dabei kann es sich um Konten von Mitglieds-Hosts handeln, bzw. Sie würden hier die Mitglieds-Hosts eintragen, falls es eine Sicherheitsgruppe gibt, zu der diese gehören.

Sam Account Name: Dies ist der NetBIOS-Name für den Dienst, sofern er sich vom Kontonamen unterscheidet.

Service Principal Names: Dies ist eine Liste der Dienst-Prinzipalnamen (SPNs) für den Dienst.

Wenn Sie eine neue Serverfarm als Sicherheitsgruppe für die gMSA-Einrichtung erstellt haben oder wenn Sie die gMSA in einer bestehenden Serverfarm eingerichtet haben, müssen Sie die Computerkonten für alle neuen Mitgliedshosts hinzufügen, die von der gMSA verwaltet werden sollen.

Um diesem Sicherheitsobjekt Mitglieder hinzuzufügen, können Sie eine Reihe von Methoden verwenden, abhängig davon, worauf Sie Zugriff haben (dies sind Standardmethoden zum Hinzufügen von Computerkonten zu einer Gruppe – die folgende Methode ist nicht spezifisch für gMSAs).

Active Directory: Sie können Active Directory über die Verwaltungstools der Systemsteuerung öffnen. Wenn Sie Windows Server 2012 verwenden, können Sie auf Startklicken und dann dsa.mcc eingeben.

Suchen Sie in der Konsolenstruktur nach Computer, finden Sie das Konto, das Sie zu einer Gruppe hinzufügen möchten, klicken Sie mit der rechten Maustaste, wählen Sie Eigenschaften und klicken Sie dann auf Hinzufügen in der Registerkarte Mitglied von.

Geben Sie den Namen der von der gMSA verwalteten Sicherheitsgruppe ein und klicken Sie auf OK, um das Konto zur Gruppe hinzuzufügen.

Befehlszeile: Um ein Konto über die Befehlszeile zu einer Gruppe hinzuzufügen, öffnen Sie die Eingabeaufforderung und geben Sie Folgendes ein:

dsmod group <GroupDN> -addmbr <ComputerDN>

So füllen Sie die Platzhalter im Befehl aus:

GroupDN: Bezieht sich auf die Gruppe, der Sie eine beliebige Anzahl von Konten hinzufügen möchten.

Addmbr: Hier wird die <Computer DN> festgelegt.

ComputerDN: Dies ist der Name des hinzugefügten Computerkontos, der durch den Namen im Verzeichnis identifiziert wird.

Windows PowerShell Active Directory: Führen Sie Windows PowerShell aus und geben Sie Folgendes ein:

Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

<string>: verweist auf den Namen der Gruppe, der die Mitglieder angehören sollen

Principals Allowed To Retrieve Managed Password: Der Name der Konten, die Sie der Gruppe hinzufügen möchten.

Um zu überprüfen, ob Sie ein gMSA erstellt haben, suchen Sie nach dem zuvor beschriebenen Verfahren in Ihrer OE für verwaltete Dienstkonten.

Best Practices für die Verwaltung von gMSAs

Um sicherzustellen, dass gMSAs Ihr Unternehmen schützen, müssen Sie dafür sorgen, dass sie angemessen verwaltet werden. Hier sind einige Tipps:

Organisieren Sie Ihre gMSAs korrekt

Alle gMSAs sollten sich im Ordner „Verwaltetes Dienstkonto“ (oder OE, Organisationseinheit) befinden. Wenn Sie jedoch mehrere Arten von MSAs innerhalb dieser OE haben, können Sie eine Organisationsuntereinheit erstellen. So können Sie alle gMSAs an einem anderen Ort haben, damit Sie leicht darauf zugreifen können. Ein einheitliches Namensmuster hilft auch bei der Organisation Ihrer gMSAs.

Führen Sie ein Inventar Ihrer Dienstkonten

Ihr Unternehmen verfügt möglicherweise über eine Reihe aktiver Dienstkonten. Oftmals ist es schwierig, sicherzustellen, dass diese immer noch gültig und relevant sind und welche Computer und Workstations zu den einzelnen Konten gehören. Dennoch ist das wichtig, damit Sie das Prinzip der notwendigsten Berechtigung durchsetzen können und keine Probleme mit Berechtigungen oder Authentifizierung auftreten.

Sie können das PowerShell-cmdlet „Get-ADService Account“ verwenden oder Scanverfahren sowie automatisierte Tools und Lösungen von Cybersicherheitsanbietern und -partnern nutzen, um die Verwaltung und Transparenz von Dienstkonten zu unterstützen.

Verwenden Sie angemessene Sicherheitspraktiken

Sie sollten immer versuchen, das Risiko zu minimieren, dem Dienstkonten ausgesetzt sind. Dementsprechend sollten Sie verhindern, dass Administratoren ihre persönlichen Konten als Dienstkonten verwenden, und Sie sollten interaktive Anmeldungen für Dienste so weit wie möglich vermeiden.

Ein wichtiger Vorteil von gMSAs ist die Automatisierung der Passwortverwaltung und die Tatsache, dass alle Authentifizierungen innerhalb des Betriebssystems stattfinden. Zusätzliche menschliche Interaktionen führen lediglich zu weiteren Risikofaktoren.

Warum gMSAs?

GMSAs bieten eine einfache Möglichkeit, Ihre Geräte vor Ort innerhalb Ihres Netzwerks auf sichere Weise zu verwalten. Sie helfen auch dabei, Ihre Server und Hosts organisiert zu halten und gleichzeitig das Risiko zu minimieren, dass Hacker per Brute-Force-Angriff in Ihr Unternehmen eindringen können.

Wenn Sie eine Vielzahl von verwalteter Dienstkonten betreiben, empfehlen wir Ihnen, nach einer Lösung oder einem Dienst zu suchen, der die Transparenz und Verwaltung dieser MSAs optimiert.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990