👎🏿 📪 ☘️ प्रबंधित सेवा खाते 🥙 ⚗️ 🥄

एक विधि है जो आपको व्यवस्थापक पासवर्ड का पता लगाने की अनुमति देती है यदि कोई सेवा इसकी ओर से लॉन्च की गई है।
जिन खातों से विंडोज सेवा शुरू की जाती है, उनके पासवर्ड पथ में एन्क्रिप्टेड रूप में रजिस्ट्री (LSA गोपनीयता) में संग्रहीत किए जाते हैं:

HKEY_LOCAL_MACHINE / सुरक्षा / नीति / राज

ऐसे तरीके हैं जिनसे आप LSA राज से पासवर्ड निकाल सकते हैं:

रजिस्ट्री पथ को एक अस्थायी पथ पर कॉपी करें, और फिर एन्क्रिप्ट किए गए पासवर्ड को डिक्रिप्ट करें
छाया प्रतियों का प्रयोग करें
Lsass.exe प्रक्रिया के साथ काम करने के लिए विशेष उपयोगिताओं का उपयोग करें

आइए उस खाते से पासवर्ड प्राप्त करने का प्रयास करें जिसके तहत SQL सर्वर सेवा चल रही है।
वहाँ है:
डोमेन नियंत्रक विंडोज सर्वर 2012 R2 पर
SQL सर्वर एक्सप्रेस 2012
सेवा शुरू करने के लिए SQL सर्वर स्थापित करते समय, हम विशेष रूप से मौजूदा डोमेन खाते को निर्दिष्ट करते हैं (पासवर्ड 14 वर्णों से कम है)।

Piccy.info - फ्री इमेज होस्टिंग

हम पासवर्ड निकालने के लिए gsecdump उपयोगिता का उपयोग करेंगे।
PowerShell को व्यवस्थापक के रूप में चलाएँ और कमांड चलाएँ: gsecdump-v2b5.exe -l
परिणाम:

Piccy.info - फ्री इमेज होस्टिंग

इस प्रकार के हमले से बचाने के लिए, Windows Server 2008 R2 ने प्रबंधित सेवा लेखा तंत्र पेश किया।
प्रबंधित सेवा खाते प्रबंधित डोमेन खाते हैं जो अन्य प्रशासकों को प्रबंधन के प्रतिनिधिमंडल सहित स्वचालित पासवर्ड प्रबंधन और सदस्य सेवा नामों का सरलीकृत प्रबंधन प्रदान करते हैं।
प्रबंधित सेवा खातों के लाभ:

स्वचालित पासवर्ड परिवर्तन। डिफ़ॉल्ट पासवर्ड परिवर्तन हर 30 दिनों में एक बार होता है।
पासवर्ड जटिल है। 240 वर्णों का एक जटिल, स्वचालित रूप से उत्पन्न पासवर्ड यादृच्छिक क्रम में उपयोग किया जाता है (पहली छमाही अंग्रेजी वर्णमाला के अक्षर हैं, दूसरी छमाही संख्या और अन्य वर्ण हैं)
निरर्थक अधिकारों का अभाव
कई सर्वरों पर एक एमएसए का उपयोग करने की क्षमता (gMSA)। इस मामले में जहां यह आवश्यक है कि सभी सेवा संस्थान एक ही विषय का उपयोग करें, उदाहरण के लिए एनएलबी सेवा में उपयोग के लिए
एसपीएन प्रबंधन

नाम बदलने पर स्वचालित रूप से SPN का नाम बदलें
- सर्वर खाता
- सर्वर खाता dnshostname गुण
- सर्वर खाते की जोड़-तोड़ संपत्ति को बदलना
- सर्वर खाते की जोड़-तोड़ की संपत्ति को बदलना

MSA का समर्थन करने वाली सेवाएँ और सेवाएँ:

आईआईएस
AD LDS
SQL सर्वर 2008 R2 SP1, 2012
एमएस एक्सचेंज 2010, 2013

MSA आवश्यकताएँ:

डोमेन और वन स्तर - विंडोज सर्वर 2008 आर 2
विंडोज सर्वर 2008 R2, विंडोज 7 (व्यावसायिक, उद्यम, अंतिम)
.नेट फ्रेमवर्क 3.5x
PowerShell के लिए सक्रिय निर्देशिका व्यवस्थापन मॉड्यूल
स्थापित पैच 2494158

यदि वन और डोमेन में 2008 R2 (MSA) और 2012 (gMSA) स्तर नहीं है, तो आपको कमांड के साथ वन स्तर बढ़ाने की आवश्यकता है:
adprep / forestprep
और कमांड के साथ डोमेन स्तर:
प्रत्येक डोमेन में adprep / domainprep जिसमें आप प्रबंधित सेवा खाते बनाना और उनका उपयोग करना चाहते हैं।

PowerShell में MSA को सक्षम करना
1) cmdlet चलाएं: आयात-मॉड्यूल ActiveDirectory
2) MSA खाता बनाने के लिए, आपको cmdlet चलाने की आवश्यकता है:
नया-ADServiceAccount serviceaccount –RestrictToSingleComputer
जहाँ सर्विसियाक MSA खाते का नाम है
RestrictToSingleComputer - पैरामीटर का मतलब है कि MSA केवल एक सर्वर से बाध्य होगा।
आप सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर में जा सकते हैं और सुनिश्चित कर सकते हैं कि एमएसए बनाया गया है (प्रबंधित सेवा खाता अनुभाग प्रदर्शित होने के लिए, आपको स्नैप-इन में दृश्य-उन्नत सुविधाएँ सक्षम करने की आवश्यकता है)।
Piccy.info - फ्री इमेज होस्टिंग

3) MSA को सर्वर से बाँधने के लिए, आपको cmdlet चलाने की आवश्यकता है:
Add-ADComputerServiceAccount -Identity सर्वर -ServiceAccount serviceaccount
जहाँ सर्वर MSA से जुड़े सर्वर का नाम है
serviceaccount - MSA खाता नाम
यह सत्यापित करने के लिए कि ऑपरेशन सफल था, आपको सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर स्नैप-इन पर जाने की आवश्यकता है, सर्वर गुणों पर जाएं और msDS- HostServiceAccount विशेषता देखें
Piccy.info - फ्री इमेज होस्टिंग

4) स्थानीय कंप्यूटर पर एक प्रबंधित सेवा खाता स्थापित करें
आपको cmdlet चलाने की आवश्यकता है:
स्थापित-ADServiceAccount -Identity serviceaccount
जहाँ सर्विसियाक MSA खाते का नाम है
5) परीक्षण एमएसए (विंडोज 8.1, विंडोज पावरशेल 4.0, विंडोज सर्वर 2012 आर 2)
आपको cmdlet चलाने की आवश्यकता है:
परीक्षण-ADServiceAccount serviceaccount
जहाँ सर्विसियाक MSA खाते का नाम है
सही या गलत लौटाता है
6) एमएसए की ओर से शुरू करने और सेवा को फिर से शुरू करने के लिए विंडोज सर्विस सेट करें।
एमएसए नाम के अंत में $ साइन शामिल करना सुनिश्चित करें।
पासवर्ड फ़ील्ड को खाली छोड़ दिया जाना चाहिए।
Piccy.info - फ्री इमेज होस्टिंग

Gsecdump उपयोगिता का उपयोग करके, सेवा खाते के पासवर्ड की जाँच करें
Piccy.info - फ्री इमेज होस्टिंग

Windows सर्वर 2012 ने समूह प्रबंधित सेवा खाते पेश किए।
वे आपको प्रबंधित खाते को एक सर्वर से नहीं, बल्कि कई से बांधने की अनुमति देते हैं।
यह आवश्यक हो सकता है, उदाहरण के लिए, नेटवर्क लोड संतुलन सेवा में उपयोग के लिए।

आवश्यकताएँ:

स्कीमा स्तर - विंडोज सर्वर 2012
Windows सर्वर 2012 (R2) डोमेन नियंत्रक Microsoft कुंजी वितरण सेवा चला रहा है
विंडोज सर्वर 2012, 2012 R2, 8, 8.1
PowerShell के लिए सक्रिय निर्देशिका व्यवस्थापन मॉड्यूल

PowerShell में gMSA को सक्षम करना
1) सत्यापित करें कि Microsoft कुंजी वितरण सेवाएँ चालू है
“कुंजी वितरण सेवा खाता कुंजी बनाने के लिए एक साझा रहस्य का उपयोग करती है। इन कुंजियों को समय-समय पर बदला जाता है। समूह प्रबंधित सेवा खातों की अन्य विशेषताओं के अलावा, विंडोज सर्वर 2012 डोमेन नियंत्रक कुंजी वितरण सेवाओं द्वारा प्रदान की गई कुंजी के लिए पासवर्ड की गणना करता है। एक Windows Server 2012 डोमेन नियंत्रक से संपर्क करके, Windows Server 2012 और Windows 8 होस्ट को वर्तमान और पिछला पासवर्ड मिल सकता है। "
2) रूट की बनाएं
Cmdlet रूट कुंजी बनाने के लिए जिम्मेदार है:
ऐड-KdsRootKey
नया रूट कुंजी बनाने के लिए आपको cmdlet चलाने की आवश्यकता है:
ऐड-KdsRootKey –EffectiveImmediately
इस स्थिति में, कुंजी 10 घंटों में उपलब्ध होगी जब तक कि इसे दोहराया नहीं जाता है।
आप cmdlet चला सकते हैं:
Add-KdsRootKey –EffectiveTime ((प्राप्त-दिनांक) .addours (-10))
इस स्थिति में, कुंजी तुरंत उपलब्ध होगी (-10 घंटे का काम)
3) जीएमएसए बनाएं
Cmdlet चलाएं:
नया-ADServiceAccount serviceaccount -DNSHostName test.test.com –PrincipalsAllowedToRetrieveManagedPassword $ परीक्षण
जहाँ serviceaccount gMSA खाते का नाम है
test.test.com - उस सर्वर का नाम, जिस पर रूट कुंजी बनाई गई थी
$ परीक्षण - सर्वर का नाम जो जानकारी के लिए केडीएस से संपर्क कर सकता है

आप सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर में जा सकते हैं और यह सुनिश्चित कर सकते हैं कि gMSA बनाया गया है (प्रबंधित सेवा खाता अनुभाग दिखाई देने के लिए, आपको स्नैप-इन में दृश्य-उन्नत सुविधाएँ सक्षम करने की आवश्यकता है)।
Piccy.info - फ्री इमेज होस्टिंग

4) स्थानीय कंप्यूटर पर एक प्रबंधित सेवा खाता स्थापित करें
आपको cmdlet चलाने की आवश्यकता है:
स्थापित-ADServiceAccount -Identity serviceaccount
जहाँ serviceaccount gMSA खाते का नाम है
5) परीक्षण एमएसए (विंडोज 8.1, विंडोज पावरशेल 4.0, विंडोज सर्वर 2012 आर 2)
आपको cmdlet चलाने की आवश्यकता है:
परीक्षण-ADServiceAccount serviceaccount
जहाँ सर्विसियाक MSA खाते का नाम है
सही या गलत लौटाता है
6) gMSA की ओर से चलने के लिए Windows सेवा सेट करें और सेवा को पुनरारंभ करें।
GMSA नाम के अंत में $ साइन शामिल करना सुनिश्चित करें ।
पासवर्ड फ़ील्ड को खाली छोड़ दिया जाना चाहिए।
Piccy.info - फ्री इमेज होस्टिंग

आप अनइंस्टॉल-ADServiceAccount cmdlet का उपयोग करके MSA / gMSA को हटा सकते हैं ।

आप सेट-ADServiceAccount cmdlet का उपयोग करके MSA / gMSA पैरामीटर सेट कर सकते हैं
पासवर्ड बदलने की अवधि निर्धारित करना:
सेट-ADServiceAccount serviceaccount -ManagedPasswordIntervalInDays 60
जहाँ serviceaccount gMSA खाते का नाम है
60 - वह अवधि जिसके बाद पासवर्ड बदला जाएगा
एमएसए का उपयोग करने के लिए केर्बरोस क्रिप्टोग्राफिक एल्गोरिदम को परिभाषित करना
विकल्प: RC4, AES128, AES256
सेट-ADServiceAccount serviceaccount -KerberosEnc एन्क्रिप्शनType RC4, AES128, AES256
एसपीएन असाइनमेंट
सेट-ADServiceAccount serviceaccount -ServicePrincipalNames @ {जोड़ें = "SPN जोड़ें"}

एक सेवा के लिए एक NetBIOS नाम सेट करना (SAMAccountName)
यदि निर्दिष्ट नहीं है, तो पहचानकर्ता नाम का उपयोग किया जाता है।
यदि सेट किया जाता है, तो AD में प्रदर्शन नाम Name, और SAMAccountName से लॉगिन के लिए पहचानकर्ता होगा
सेट-ADServiceAccount serviceaccount –SamAccountName परीक्षण

MSA सुरक्षा को बेहतर बनाने का एक और तरीका है।

प्रबंधित सेवा खाते

More articles: