خرید vpn خوب

راهنمای gMSA: امنیت و استقرار حساب خدمات سرویس مدیریت شده در گروه

در هر سازمانی ، تعدادی کار ، برنامه یا دستگاه خودکار وجود دارد که در پس زمینه هر دستگاهی در سراسر شبکه اجرا می شود . یکی از بهترین راه ها برای مدیریت و ایمن سازی این فرآیندهای خودکار ، استفاده از گروه حساب های خدمات مدیریت شده یا gMSA است.

در این مقاله ، ما به شما نشان می دهیم که gMSA چیست ، چرا مهم است و چگونه می توان gMSA برای شبکه و سازمان شما.

gMSA چیست؟

حساب های خدمات مدیریت شده گروه ها یا gMSA ها نوعی حساب خدمات مدیریت شده هستند که امنیت بیشتری نسبت به حساب های سرویس مدیریت شده سنتی برای برنامه ها ، خدمات ، فرآیندهای خودکار ، غیر تعاملی ارائه می دهند. ، یا وظایفی که هنوز به اعتبار احتیاج دارند.

موجود در رایانه های دارای Windows Server 2012 یا بالاتر ، gMSA ها تا حد زیادی جایگزین sMSA ها (حساب سرویس مدیریت شده ، که به MSA ، حساب سرویس مدیریت شده نیز معروف است) هستند می تواند در سرورهای متعدد مورد استفاده قرار گیرد و چندین کار خودکار را انجام دهد.

چرا حسابهای سرویس و gMSA مهم هستند؟

حسابهای خدمات به طور کلی مهم هستند زیرا آنها یک حساب غیر شخصی برای ارائه ارائه می دهند. یک زمینه امنیتی برای هر تعداد سرویس پس زمینه برای دستگاه هایی که بر روی سیستم عامل ویندوز کار می کنند.

بدون امنیت مناسب ، این خدمات پس زمینه می تواند مورد سوء استفاده قرار گرفته و توسط هکرهایی که به دنبال ورود به شبکه شما از طریق دستگاه های شما هستند مورد هدف قرار گیرد. استفاده از حسابهای سرویس مدیریت شده به عنوان بخشی از مدیریت امنیتی مداوم برای سازمان شما مفید است.

مزایای استفاده از gMSAs

gMSAs مزایای امنیتی متعددی را ارائه می دهد و کنترل بیشتری بر حساب خدمات شما می دهد.

  • چندین سرور: برخلاف MSA یا sMSA های سنتی ، خدمات و وظایف شما را می توان در سرورهای متعددی تنظیم و اجرا کرد ، که این امر با توجه به وضعیت امروزه سازمانها ضروری است.
  • مدیریت خودکار رمز عبور: به بیان ساده ، gMSA ها قطع می شوند مرد وسط (شما) در مورد رمزهای عبور. آنها بطور خودکار تولید می شوند ، توسط سیستم عامل مدیریت می شوند و حتی به طور منظم چرخانده می شوند. بنابراین شما حتی مجبور نیستید رمز عبور را بدانید ، این امر باعث می شود که رمز عبور به خطر بیفتد.
  • شما می توانید مدیریت را به مدیران دیگر واگذار کنید: اطمینان حاصل کنید که فقط یک سرپرست مسئول امنیت حساب خدمات شما نیست.

نحوه پیدا کردن و مدیریت حساب های سرویس مدیریت شده گروهی

ممکن است سازمان شما قبلاً gMSA هایی ایجاد کرده باشد که بتوانند سرآمد مدیریت حساب خدمات شما باشند. به مکان یابی MSA های شما یک فرآیند نسبتاً ساده است. Remove-ADServiceAccount

Set-ADServiceAccount

Test-ADServiceAccount

Uninstall-ADServiceAccount

شما باید بتوانید هر گونه gMSA را در کاربران و رایانه های Active Directory در حساب مدیریت شده 1965 مشاهده کنید پوشه یا OU (واحد سازمانی). در اینجا چیزی است که باید ببینید:

چگونه می توان gMSA ها را راه اندازی کرد

تعدادی راه برای راه اندازی gMSA و تعدادی پیش نیاز وجود دارد. در اینجا ، ما روش توصیف شده توسط مایکروسافت را به اشتراک می گذاریم.

همانطور که قبلا ذکر شد ، gMSA فقط برای Windows Server 2012 یا نسخه های بعدی آن در دسترس است. برای مدیریت gMSA ها ، باید دستورات Powershell را اجرا کنید که نیاز به معماری 64 بیتی دارد. MSA ها به زمانهای رمزگذاری پشتیبانی شده توسط Kerberos وابسته هستند و هرگونه استاندارد رمزگذاری ، مانند AES ، باید برای MSA پیکربندی شود. یک کلید اصلی ریشه برای Active Directory مستقر کرده اید

  • حداقل یک Windows Server 2012 DC در دامنه خود داشته باشید که در آن gMSA را ایجاد خواهید کرد.

    • برای لیست کامل نیازها ، پیش نیازها و مراحل اضافی ، از این صفحه مستندات مایکروسافت دیدن کنید.

    می توانید از طریق cmdlet New-ADServiceAccount gMSA ایجاد کنید. اگر AD PowerShell را نصب نکرده اید ، Add Roles and Features را در Server Server باز کنید ، به ویژگی ها بروید ، RSAT را پیدا کنید و ماژول Active Directory را برای Windows PowerShell انتخاب کنید.

    مرحله 1: اجرا Windows Powershell از نوار وظیفه در کنترل کننده دامنه Windows Server 2012 شما

    مرحله 2: در خط فرمان موارد زیر را وارد کنید: 

     New-ADServiceAccount [-Name]   -DNSHostName  [-KerberosEncryptionType] [-ManagedPasswordIntervalInDays] [-PrincipalsAllowedToRetrieveManagedPassword] [-SamAccountName] [-ServicePrincipalNames] 1965905] چگونه

    19659056 نام: نام حساب شما

    نام میزبان DNS: نام میزبان سرویس DNS

    نوع رمزگذاری Kerberos: نوع رمزگذاری پشتیبانی شده توسط سرورهای میزبان

    رمز عبور مدیریت شده داخلی در روزها: چگونه اغلب می خواهید رمز عبور تغییر کند (به طور پیش فرض این 30 روز است – به یاد داشته باشید ، تغییر توسط ویندوز انجام می شود)

    * توجه: پس از ایجاد gMSA نمی توان آن را تغییر داد. برای تغییر فاصله ، باید یک gMSA جدید ایجاد کنید و یک بازه جدید تنظیم کنید. میزبان اعضا بخشی از آنها هستند ، شما باید آنها را اینجا وارد کنید.

    نام حساب سام: این نام NetBIOS برای سرویس است اگر با نام حساب متفاوت باشد. لیستی از نامهای اصلی سرویس (SPN) این سرویس است

    اگر یک مزرعه سرور جدید به عنوان گروه امنیتی برای راه اندازی gMSA ایجاد کرده اید یا اگر gMSA را در مزرعه سرور موجود تنظیم کرده اید ، باید حساب های رایانه ای را برای هر میزبان جدید که توسط gMSA مدیریت می شود ، اضافه کنید.

    برای افزودن اعضا به این شیء امنیتی ، بسته به دسترسی خود می توانید از روش های مختلفی استفاده کنید (اینها روشهای استاندارد برای افزودن حسابهای رایانه ای به گروه هستند – روش زیر مختص gMSA ها نیست). [19659029] Active Directory: می توانید Active Directory را از طریق ابزارهای Control Panel Admin باز کنید یا اگر در Windows Server 2012 هستید ، می توانید start را کلیک کنید ، سپس dsa.mcc را تایپ کنید. .

    در درخت کنسول ، رایانه را پیدا کنید ، حسابی را که می خواهید به یک گروه اضافه کنید پیدا کنید ، راست کلیک کرده و ویژگی های را انتخاب کنید ، سپس افزودن را کلیک کنید. در برگه عضو .

    نام گروه امنیتی مدیریت شده توسط gMSA را تایپ کرده و Ok را فشار دهید تا حساب به گروه اضافه شود.

    فرمان -line: برای افزودن حساب به یک گروه از طریق خط فرمان ، خط فرمان خود را باز کرده و موارد زیر را وارد کنید: 

     dsmod group  -addmbr

    نحوه پر کردن دستور .

    GroupDN: اشاره به گروهی است که می خواهید هر تعداد حساب را به آن اضافه کنید.

    Addmbr: این

    ComputerDN: Th را تنظیم می کند. is is the account computer added، identified by the name in the directory.

    Windows PowerShell Active Directory: Windows PowerShell را اجرا کرده و موارد زیر را تایپ کنید:

    : اشاره به نام گروهی است که می خواهید اعضای آن عضو باشند

    اصول مجاز به بازیابی رمز مدیریت شده: نام حساب هایی که می خواهید به گروه اضافه کنید. [19659004] برای بررسی مجدد ایجاد یک gMSA ، آن را در OU Accounts Service Managed OU خود با استفاده از روشی که قبلاً توضیح داده شد ، جستجو کنید. شما آنها را به درستی مدیریت می کنید در اینجا چند نکته وجود دارد. OU همه gMSA های خود را در مکانی متفاوت داشته باشید تا بتوانید به راحتی به همه آنها دسترسی پیدا کنید. حفظ الگوی نامگذاری ثابت همچنین می تواند به سازماندهی gMSA های شما کمک کند.

    موجودی حسابهای خدمات خود را نگه دارید

    سازمان شما ممکن است تعدادی حساب خدمات فعال داشته باشد. اطمینان از اینکه آنها هنوز معتبر ، مرتبط هستند و رایانه ها و ایستگاه های کاری به هر حساب تعلق دارند ، دشوار است ، اما مهم است بنابراین شما همچنان می توانید اصل حداقل امتیاز را اجرا کنید و با هیچ گونه مجوز یا احراز هویت روبرو نیستید.

    شما می توانید از cmdlet حساب Get-ADService PowerShell استفاده کنید یا از برخی اسکن یا ابزارها و راه حل های خودکار از فروشندگان و شرکای امنیت سایبری برای مدیریت و مشاهده حساب خدمات استفاده کنید.

    عادات امنیتی مناسب را حفظ کنید

    شما همیشه باید سعی کنید حسابهای خدمات را در معرض خطر قرار دهید. این بدان معناست که شما باید از استفاده سرپرستان از حساب های شخصی خود به عنوان حساب خدمات جلوگیری کنید و باید سعی کنید تا حد امکان از ورود به سیستم های تعاملی برای خدمات جلوگیری کنید. افزودن تعامل انسانی فقط یک عامل خطر دیگر را معرفی می کند. همچنین به سازماندهی سرورها و میزبانهای شما کمک می کند در حالی که هرگونه مواجهه با هکرهای احتمالی را که می خواهد به زور وارد سازمان شما شود ، به حداقل می رساند. یا سرویسی که به افزایش دید و مدیریت این MSAs شما کمک می کند.