Proteggere gli account del servizio gestito del gruppo

Gli account del servizio gestito di gruppo sono account di dominio per proteggere i servizi. Gli account del servizio gestito di gruppo possono essere eseguiti in un server o in una server farm, ad esempio i sistemi dietro un server di bilanciamento del carico di rete o Internet Information Services (IIS). Dopo aver configurato i servizi per l'uso di un'entità del servizio gestito del gruppo, la gestione delle password dell'account viene gestita dal sistema operativo Windows.

Vantaggi degli account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono una soluzione di gestione delle identità con maggiore sicurezza che consente di ridurre il sovraccarico amministrativo:

• Impostare password complesse - Password da 240 byte generate in modo casuale: la complessità e la lunghezza delle password del servizio gestito del gruppo riducono al minimo la probabilità di compromissione da attacchi di forza bruta o dizionario
• Ciclo delle password regolarmente : la gestione delle password passa al sistema operativo Windows, che modifica la password ogni 30 giorni. Gli amministratori del servizio e del dominio non devono pianificare le modifiche delle password o gestire le interruzioni del servizio.
• Supportare la distribuzione nelle server farm : distribuire account del servizio gestito del gruppo in più server per supportare soluzioni con bilanciamento del carico in cui più host eseguono lo stesso servizio
• Supportare la gestione semplificata del nome dell'entità servizio (SPN): configurare un NOME SPN con PowerShell quando si crea un account.
  • Inoltre, i servizi che supportano registrazioni SPN automatiche potrebbero eseguire questa operazione rispetto all'account del servizio gestito del gruppo, se le autorizzazioni del servizio gestito del gruppo sono impostate correttamente.

Uso di account del servizio gestito del gruppo

Usare gli account del servizio gestito del gruppo come tipo di account per i servizi locali, a meno che un servizio, ad esempio il clustering di failover, non lo supporti.

Importante

Testare il servizio con gli account del servizio gestito del gruppo prima di passare all'ambiente di produzione. Configurare un ambiente di test per assicurarsi che l'applicazione usi l'account del servizio gestito del gruppo, quindi accede alle risorse. Per altre informazioni, vedere Supporto per gli account del servizio gestito del gruppo.

Se un servizio non supporta gli account del servizio gestito del gruppo, è possibile usare un account del servizio gestito autonomo (sMSA). Un sMSA ha la stessa funzionalità, ma è destinata alla distribuzione in un singolo server.

Se non è possibile usare un account del servizio gestito del gruppo o sMSA supportato dal servizio, configurare il servizio per l'esecuzione come account utente standard. Gli amministratori del servizio e del dominio devono osservare i processi di gestione delle password complesse per proteggere l'account.

Valutare il comportamento di sicurezza dell'account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono più sicuri rispetto agli account utente standard, che richiedono una gestione continua delle password. Si consideri tuttavia l'ambito dell'accesso del servizio gestito del gruppo in relazione al comportamento di sicurezza. Nella tabella seguente sono illustrati i potenziali problemi di sicurezza e le mitigazioni per l'uso di account del servizio gestito del gruppo:

Problema di sicurezza	Mitigazione
gMSA è un membro dei gruppi con privilegi	- Esaminare le appartenenze ai gruppi. Creare uno script di PowerShell per enumerare le appartenenze ai gruppi. Filtrare il file CSV risultante in base ai nomi di file del servizio gestito del gruppo: rimuovere l'account del servizio gestito del gruppo da gruppi con privilegi: concedere i diritti dell'account del servizio gestito del gruppo e le autorizzazioni necessari per eseguire il servizio. Vedere il fornitore del servizio.
gMSA ha accesso in lettura/scrittura alle risorse sensibili	- Controllare l'accesso alle risorse sensibili - Archiviare i log di controllo a un sistema SIEM, ad esempio Azure Log Analytics o Microsoft Sentinel - Rimuovere le autorizzazioni delle risorse non necessarie se è presente un livello di accesso non necessario

Trovare account del servizio gestito del gruppo

L'organizzazione potrebbe avere account del servizio gestito del gruppo. Per recuperare questi account, eseguire i cmdlet di PowerShell seguenti:

Get-ADServiceAccount 
Install-ADServiceAccount 
New-ADServiceAccount 
Remove-ADServiceAccount 
Set-ADServiceAccount 
Test-ADServiceAccount 
Uninstall-ADServiceAccount

Contenitore account del servizio gestito

Per funzionare in modo efficace, gli account del servizio gestito devono trovarsi nel contenitore Account del servizio gestito.

Per trovare gli account del servizio non presenti nell'elenco, eseguire i comandi seguenti:

Get-ADServiceAccount -Filter *

# This PowerShell cmdlet returns managed service accounts (gMSAs and sMSAs). Differentiate by examining the ObjectClass attribute on returned accounts.

# For gMSA accounts, ObjectClass = msDS-GroupManagedServiceAccount

# For sMSA accounts, ObjectClass = msDS-ManagedServiceAccount

# To filter results to only gMSAs:

Get-ADServiceAccount –Filter * | where-object {$_.ObjectClass -eq "msDS-GroupManagedServiceAccount"}

Gestire gli account del servizio gestito del gruppo

Per gestire gli account del servizio gestito del gruppo, usare i cmdlet di PowerShell di Active Directory seguenti:

Get-ADServiceAccount

Install-ADServiceAccount

New-ADServiceAccount

Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

Nota

In Windows Server 2012 e versioni successive i cmdlet *-ADServiceAccount funzionano con gli account del servizio gestito del gruppo. Altre informazioni: Introduzione agli account del servizio gestito del gruppo.

Passare a un account del servizio gestito del gruppo

Gli account del servizio gestito del gruppo sono un tipo di account del servizio sicuro per l'ambiente locale. È consigliabile usare gli account del servizio gestito del gruppo, se possibile. È anche consigliabile spostare i servizi in Azure e negli account del servizio in Microsoft Entra ID.

Nota

Prima di configurare il servizio per l'uso dell'account del servizio gestito del gruppo, vedere Introduzione agli account del servizio gestito del gruppo.

Per passare a un account del servizio gestito del gruppo:

1. Verificare che la chiave radice del servizio di distribuzione chiavi (KDS) sia distribuita nella foresta. Si tratta di un'operazione una tantum. Vedere Creare la chiave radice KDS di Key Distribution Services.
2. Creare un nuovo account del servizio gestito del gruppo. Vedere Introduzione agli account del servizio gestito del gruppo.
3. Installare il nuovo account del servizio gestito del gruppo negli host che eseguono il servizio.
4. Modificare l'identità del servizio in account del servizio gestito del gruppo.
5. Specificare una password vuota.
6. Verificare che il servizio funzioni con la nuova identità del servizio gestito del gruppo.
7. Eliminare l'identità dell'account del servizio precedente.

Passaggi successivi

Per altre informazioni sulla protezione degli account del servizio, vedere gli articoli seguenti:

• Introduzione agli account del servizio locale
• Proteggere gli account del servizio gestito autonomo
• Proteggere gli account computer con Active Directory
• Proteggere gli account del servizio basati sull'utente in Active Directory
• Gestire gli account del servizio locale