En entornos empresariales es habitual la necesidad de emplear identidades que están asociadas al funcionamiento de un Rol, Servicio o Aplicación, gestionar estas identidades en bajo una infraestructura de Active Directory todavía es mas complejo y en algunas ocasiones los administradores terminan utilizando cuentas de usuario con contraseñas que no caducan nunca, con el consiguiente riesgo de seguridad asociado.
Microsoft propone la utilización de cuentas de servicio administradas para solucionar los desafíos de estos escenarios, la principal ventaja de estas identidades es que Windows se encarga del mantenimiento y actualización de las propiedades de estas cuentas, incluida la renovación periódica de la contraseña de la identidad.
Los requisitos para utilizar Group Managed Service Accounts son los siguientes:
- El esquema de Active Directory en el bosque del dominio debe actualizarse a Windows Server 2012.
- El valor del atributo CN=Esquema,CN=Configuración,DC=Dominio,DC=Com debe ser 52.
- Un grupo de seguridad para la nueva cuenta gMSA provisionada.
- Si first master root key for Active Directory no se implementa en el dominio o no se ha creado, debe crearse. El resultado se puede verificar KdsSvc Operational log, Event ID 4004
- Para crear Key Distribution Services KDS Root Key
Click en la imagen para ampliar...
La sintaxis para crear la cuenta desde Windows PowerShell es la siguiente:
- New-ADServiceAccount [-Name] -DNSHostName [-KerberosEncryptionType ] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] -SamAccountName -ServicePrincipalNames <string[]>
Para luego añadir miembros se utilizara la siguiente sintaxis:
- Get-ADServiceAccount [-Name] ITFarm1 -PrincipalsAllowedToRetrieveManagedPassword
- Set-ADServiceAccount [-Name] ITFarm1-PrincipalsAllowedToRetrieveManagedPassword Host1,Host2
Para ampliar información consultar los siguientes enlaces:
Seguridad a lo Jabalí para Todos!!
No hay comentarios:
Publicar un comentario