De ce să alegi Managed Service Accounts în locul unui cont de domeniu obișnuit?

What Are the Advantages of Using a Managed Service Account (MSA) in Active Directory Compared to a Standard Domain Account for Running a Service?

The advantages of using a Managed Service Account (MSA) over a standard domain account for services are:

• Automatic Password Management – MSA automatically handles password changes, eliminating the need for manual intervention and reducing the risk of compromised or expired passwords.
• Enhanced Security – MSA passwords are randomly generated, more complex, and automatically changed periodically, reducing vulnerabilities associated with static passwords.
• Immunity to Pass-the-Hash Attacks – Since the password is not known to the administrator and cannot be extracted from memory, MSA reduces the risk of attacks where an attacker obtains and reuses a password hash.
• Least Privilege Access – MSAs cannot be used for interactive authentication (direct login), limiting the attack surface and reducing the risk of abuse.
• Scalability and Ease of Management – In an environment with multiple services, using MSAs eliminates the need to manually maintain service accounts and passwords for each service.
• Compatibility with Various Services – MSAs are supported by most Microsoft applications and services, such as SQL Server, IIS, Exchange, and more.

Steps to Create and Configure a Managed Service Account (MSA) for the „ExampleSVC” Service

1. Creating and Configuring the MSA in Active Directory (AD)

1. Open PowerShell with administrator privileges on a server with the Active Directory Domain Controller (DC) role.
2. Check if Managed Service Accounts are enabled:

   Get-ADOptionalFeature -Filter {Name -like "Privileged Access Management Feature"}
   

   If this feature is not enabled, you may need to activate it, but in most cases, this is not necessary.

3. Create the MSA for ExampleSVC:

   New-ADServiceAccount -Name ExampleSVC -DNSHostName example.local -PrincipalsAllowedToRetrieveManagedPassword "Server_Name"
   

   • -DNSHostName should be the Active Directory domain.
   • -PrincipalsAllowedToRetrieveManagedPassword defines the servers that can use this account.
4. Verify if the account was created successfully:

   Get-ADServiceAccount -Identity ExampleSVC
   

2. Configuring the MSA on the Server Using the Service

1. Open PowerShell with administrator privileges on the server where the account will be used.
2. Install the AD PowerShell feature (if not already installed):

   Add-WindowsFeature RSAT-AD-PowerShell
   

3. Ensure the server can use MSA accounts:

   Test-ADServiceAccount ExampleSVC
   

   If the command returns True, the account is ready.

4. Install the MSA on the server:

   Install-ADServiceAccount -Identity ExampleSVC
   

5. Configure the „ExampleSVC” service to use this account:
   • Open Services.msc
   • Find the ExampleSVC service
   • Right-click → Properties
   • In the Log On tab, select This account
   • Enter the account as DOMAIN\ExampleSVC$ (the $ sign is required for MSA accounts)
   • Do not enter a password (AD manages it automatically)
   • Click Apply and OK
6. Restart the service to apply the changes:

   Restart-Service -Name "ExampleSVC"
   

3. Verifying Functionality

1. Check if the service is running correctly with the new account:

   Get-Service -Name "ExampleSVC"
   

2. Ensure the server can access the MSA account password:

   Test-ADServiceAccount ExampleSVC
   

If everything is configured correctly, the ExampleSVC service will now run securely using a Managed Service Account, eliminating the need for manual password management. 🚀

Care sunt avantajele utilizării unui cont de tip Managed Service Account (MSA) în Active Directory în comparație cu un cont standard de domeniu pentru rularea unui serviciu?

Avantajele utilizării unui Managed Service Account (MSA) față de un cont standard de domeniu pentru servicii sunt:

1. Administrare automată a parolei – MSA gestionează automat schimbarea parolei, eliminând nevoia de intervenție manuală și reducând riscul de parole compromise sau expirate.
2. Securitate îmbunătățită – Parolele MSA sunt generate aleatoriu, sunt mai complexe și sunt schimbate periodic automat, reducând vulnerabilitățile asociate cu parole statice.
3. Imunitate la atacuri de tip Pass-the-Hash – Deoarece parola nu este cunoscută de administrator și nu poate fi extrasă din memorie, MSA reduce riscul de atacuri în care un atacator obține și reutilizează un hash al parolei.
4. Drepturi minime necesare – MSA nu pot fi folosite pentru autentificare interactivă (login direct), limitând suprafața de atac și reducând riscul de utilizare abuzivă.
5. Scalabilitate și ușurință în gestionare – Într-un mediu cu multe servicii, utilizarea MSA elimină necesitatea de a menține manual conturi de serviciu și parole pentru fiecare dintre ele.
6. Compatibilitate cu diverse servicii – MSA este suportat de majoritatea aplicațiilor și serviciilor Microsoft, cum ar fi SQL Server, IIS, Exchange și altele.

Pașii necesari pentru a crea și configura un Managed Service Account (MSA) pentru serviciul „ExampleSVC”

1. Crearea și configurarea contului MSA în Active Directory (AD)

1. Deschide un PowerShell cu privilegii de administrator pe un server cu rolul de Active Directory Domain Controller (DC).
2. Verifică dacă Managed Service Accounts este activat

   Get-ADOptionalFeature -Filter {Name -like "Privileged Access Management Feature"}
   

   Dacă acest feature nu este activ, va trebui să îl activezi, dar în majoritatea cazurilor nu este necesar.

3. Creează contul MSA pentru ExampleSVC:

   New-ADServiceAccount -Name ExampleSVC -DNSHostName example.local -PrincipalsAllowedToRetrieveManagedPassword "Numele_Serverului"
   

   • -DNSHostName trebuie să fie domeniul AD.
   • -PrincipalsAllowedToRetrieveManagedPassword definește serverele care pot folosi acest cont.
4. Verifică dacă contul a fost creat cu succes:

   Get-ADServiceAccount -Identity ExampleSVC
   

2. Configurarea contului MSA pe serverul care utilizează serviciul

1. Deschide un PowerShell cu drepturi de administrator pe serverul unde trebuie utilizat contul.
2. Instalează funcționalitatea AD PowerShell (dacă nu este deja instalată):

   Add-WindowsFeature RSAT-AD-PowerShell
   

3. Asigură-te că serverul poate utiliza conturile MSA:

   Test-ADServiceAccount ExampleSVC
   

   Dacă comanda returnează True, contul este pregătit.

4. Instalează contul MSA pe server:

   Install-ADServiceAccount -Identity ExampleSVC
   

5. Configurează serviciul „ExampleSVC” să utilizeze acest cont:
   • Deschide Services.msc
   • Găsește serviciul ExampleSVC
   • Click dreapta → Properties
   • La tab-ul Log On, selectează This account
   • Introdu contul ca DOMAIN\ExampleSVC$ (semnul $ este necesar pentru conturile MSA)
   • Nu introduce o parolă (gestionează automat AD-ul)
   • Apasă Apply și OK
6. Repornește serviciul pentru a aplica modificările.


3. Verificarea funcționalității

1. Verifică dacă serviciul rulează corect cu noul cont:

2. Asigură-te că serverul poate accesa parola contului MSA:

   Test-ADServiceAccount ExampleSVC
   

Dacă totul este configurat corect, serviciul va rula acum în siguranță folosind Managed Service Account, fără a fi nevoie de gestionarea manuală a parolelor. 🚀