Active Directory: cuentas de servicio administradas

Existe la posibilidad de obtener una contraseña de administrador si alguno de los servicios se ejecuta con privilegios de administrador. Las contraseñas de las cuentas, bajo las cuales se ejecutan los servicios de Windows, se almacenan encriptadas en el registro (Secretos LSA) en la siguiente ruta:

HKEY_LOCAL_MACHINE / Seguridad / Política / Secretos
Hay algunas formas de obtener contraseñas de LSA Secrets:

Copie la ruta del registro en una ruta temporal y luego descifre las contraseñas cifradas
Usar instantáneas
Utilice herramientas especiales que funcionen con el proceso lsass.exe

Intentemos obtener la contraseña de la cuenta con la que se ejecuta SQL Server.
Hay:

Controlador de dominio en Windows Server 2012 R2
SQL Server Express 2012

Durante la instalación de SQL Server, especifique la cuenta de dominio existente (la longitud de la contraseña es inferior a 14 símbolos) para ejecutarla.

Utilice la utilidad gsecdump para extraer contraseñas.
Ejecute PowerShell como administrador y ejecute el comando:

El resultado es:

¿Qué son las cuentas de servicio administradas?

La Cuentas de servicio administradas (MSA) El mecanismo se ha desarrollado como protección contra tales ataques en Windows Server 2008 R2.
Las cuentas de servicio administradas son cuentas administradas en un dominio que brindan administración automática de contraseñas y administración simplificada de los nombres de servicios de los participantes, incluida la delegación de control a otros administradores.
Ventajas de las cuentas de servicio administradas

Un cambio automático de contraseña. Por defecto, la contraseña se cambia cada 30 días.
Una contraseña compleja. Una contraseña compleja, generada automáticamente que consta de 240 símbolos aleatorios (la primera mitad incluye letras en inglés, la segunda mitad, números y otros símbolos)
Sin derechos superfluos
Una oportunidad de usar un MSA en varios servidores (gMSA) en caso de que todas las instancias de servicio deban usar un solo tema, por ejemplo, para usar en NLB
Gestión de SPN

Actualización automática del SPN después del cambio de nombre

cuenta del servidor
propiedad dnshostname de la cuenta del servidor
cambiar la propiedad add-aldnshostname de la cuenta del servidor
cambiar la propiedad additionalalsam-accountname de la cuenta del servidor

Servicios que apoyan MSA:

IIS
AD LDS
SQL Server 2008 R2 SP1, 2012
MS Exchange 2010, 2013

Requisitos de MSA

Nivel de dominio y bosque: Windows Server 2008 R2
Windows Server 2008 R2, Windows 7 (Professional, Enterprise, Ultimate) y superior
.Net Framework 3.5x
Módulo de administración de Active Directory para PowerShell
El parche instalado KB2494158

Si un bosque y un dominio no tienen los niveles 2008 R2 (MSA) y 2012 (gMSA), debe aumentar el nivel del bosque con el comando:

Y aumente el nivel de dominio usando el comando:

en cada dominio, en el que debe crear y utilizar cuentas de servicio administradas.

Cómo habilitar MSA en PowerShell

Ejecute el cmdlet:
1

Import-Module ActiveDirectory
Módulo de importación ActiveDirectory
Para crear una cuenta MSA, debe ejecutar el cmdlet:
1

New-ADServiceAccount serviceaccount –RestrictToSingleComputer
New-ADServiceAccount serviceaccount –RestrictToSingleComputer
dónde cuenta de servicio es el nombre de la cuenta MSA
El parámetro Restringir a una sola computadora significa que MSA se vinculará solo a un único servidor. Puede ir a Usuarios y equipos de Active Directory y asegurarse de que se haya creado MSA (para que aparezca la sección Cuentas de servicio administradas, debe habilitar Características avanzadas en el Vista menú del complemento AD).
Para vincular MSA al servidor, ejecute el cmdlet:
1

Add-ADComputerServiceAccount -Identity server -ServiceAccount serviceaccount
Add-ADComputerServiceAccount -Identity server -ServiceAccount serviceaccount
dónde servidor es el nombre del servidor asociado con MSA
cuenta de servicio es el nombre de la MSA
Para verificar si la operación se ha realizado correctamente, vaya a Usuarios y equipos de Active Directory, luego vaya a las propiedades del servidor y verifique msDS-HostServiceAccount atributo
Instale la cuenta de servicio administrada en la computadora local
Tienes que ejecutar el cmdlet:
1

Install-ADServiceAccount -Identity serviceaccount
Install-ADServiceAccount -Identity serviceaccount
donde serviceaccount es el nombre del MSA
Pruebe el MSA (Windows 8.1, Windows PowerShell 4.0, Windows Server 2012 R2)
Ejecute el cmdlet:
1

Test-ADServiceAccount serviceaccount
Test-ADServiceAccount serviceaccount
dónde cuenta de servicio es el nombre de la MSA
Devuelve el valor Verdadero o Falso
Configure para ejecutar el servicio de Windows como MSA y reinicie el servicio.
No olvides poner 'PS'al final del nombre de MSA
El campo Contraseña debe dejarse vacío.

Revisemos la contraseña de la cuenta de servicio usando el gsecdump utilidad

Cuentas de servicio administradas por grupos en Windows Server 2012

En Windows Server 2012 apareció Cuentas de servicio administradas por grupos (gMSA). Permiten vincular una cuenta administrada no a un solo servidor, sino a varios de ellos.
Puede ser necesario, por ejemplo, en el equilibrio de carga de red o en el clúster de Windows.

Requerimientos:

Cómo habilitar gMSA en PowerShell

Asegúrese de que el Servicio de distribución de claves de Microsoft esté en “El Servicio de distribución de claves de Microsoft utiliza un secreto compartido para generar claves de cuenta. Estas claves se cambian de vez en cuando. Junto con los otros atributos de las cuentas de servicio administradas por grupos, el controlador de dominio de Windows Server 2012 obtiene una contraseña para una clave proporcionada por los servicios de distribución de claves. Al dirigirse al controlador de dominio de Windows Server 2012, los hosts de Windows Server 2012 y Windows 8 pueden obtener una contraseña actual y una anterior ".
Crear una clave raíz
La clave raíz se puede crear con el cmdlet:
Para crear una nueva clave raíz, ejecute el siguiente cmdlet:
1

Add-KdsRootKey –EffectiveImmediately
Add-KdsRootKey –EfectiveImmediately
En este caso, la clave estará disponible en 10 horas, hasta que sea replicada.
También puede ejecutar un cmdlet:
1

Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
Add-KdsRootKey –EffectiveTime ((get-date) .addhours (-10))
Entonces la llave estará disponible inmediatamente (se ahorran 10 horas de trabajo)
Crear gMSA
Ejecute el cmdlet:
1

New-ADServiceAccount serviceaccount -DNSHostName tst.test.com –PrincipalsAllowedToRetrieveManagedPassword $test
New-ADServiceAccount serviceaccount -DNSHostName tst.test.com –PrincipalsAllowedToRetrieveManagedPassword $ test
dónde cuenta de servicio es el nombre de la gMSA
tst.test.com es el nombre del servidor en el que se ha creado una clave raíz
$ test es el nombre del servidor que puede dirigirse a KDS para obtener datos Puede ir a Usuarios y equipos de Active Directory y asegurarse de que se haya creado gMSA (para que aparezca la sección Cuentas de servicio administradas, debe habilitar las funciones avanzadas en la vista menú del complemento AD).
Instale la cuenta de servicio administrada en la computadora local
Tienes que ejecutar el cmdlet:
1

Install-ADServiceAccount -Identity serviceaccount
Install-ADServiceAccount -Identity serviceaccount
donde serviceaccount es el nombre de gMSA
Pruebe el gMSA (Windows 8.1, Windows PowerShell 4.0, Windows Server 2012 R2)
Ejecute el cmdlet:
1

Test-ADServiceAccount serviceaccount
Test-ADServiceAccount serviceaccount
donde serviceaccount es el nombre de gMSA
Devuelve el valor Verdadero o Falso
Configure para ejecutar el servicio de Windows como gMSA y reinicie el servicio.
No te olvides de poner PS al final del nombre de gMSA
El campo Contraseña debe dejarse vacío.

Comprobemos la contraseña de la cuenta de servicio con la utilidad gsecdump

MSA / gMSA se puede desinstalar usando el cmdlet Uninstall-ADServiceAccount

Puede configurar los parámetros de MSA / gMSA con el cmdlet Set-ADServiceAccount
Establezca el intervalo de cambio de contraseña:

1	Set-ADServiceAccount serviceaccount -ManagedPasswordIntervalInDays 60

dónde cuenta de servicio es el nombre de la gMSA
60 es un período de tiempo, después del cual se cambiará la contraseña
Configurar los algoritmos de cifrado Kerberos para que los utilice MSA
Variantes: RC4, AES128, AES256

1	Set-ADServiceAccount serviceaccount -KerberosEncryptionType RC4, AES128, AES256

Establecer SPN

1	Set-ADServiceAccount serviceaccount -ServicePrincipalNames @{Add="added SPN"}

Establecer el nombre NetBIOS del servicio (SAMAccountName)
Si no está configurado, se utiliza un nombre de identificación
Si está configurado, el nombre para mostrar en AD será de Name y el ID de inicio de sesión será de SAMAccountName

1	Set-ADServiceAccount serviceaccount –SamAccountName test

MSA es una excelente manera de mejorar la seguridad de la red.

4.4 / 5 ( 214 votos )

Recomendado para ti

RebajasBestseller No. 1

Informática industrial 2.ª edición 2023 (SIN COLECCION)

27,50 EUR
Ver en Amazon

RebajasBestseller No. 2

Introducción a la informatica. Edición 2024 (INFORMÁTICA PARA MAYORES)

15,15 EUR
Ver en Amazon

RebajasBestseller No. 3

Oposiciones Cuerpo de Profesores de Enseñanza Secundaria. Informática. Vol. I. Hardware y Sistemas Operativos.: Temario Oficial De Informática Volumen I (SIN COLECCION)

28,40 EUR
Ver en Amazon

Artículos relacionados:
Uso de cuentas de servicio administradas (MSA y…
Protección de cuentas administrativas…
Identificar el origen de los bloqueos de cuentas de…
Tipos de grupos de Active Directory - informaticamadridmayor
Administración de grupos de Active Directory con PowerShell
Actualización del esquema de Active Directory –…