管理されたサービスアカウント

サービスがその代わりに起動された場合、管理者パスワードを見つけることができる方法があります。
Windowsサービスを開始するアカウントのパスワードは、パスに沿って暗号化された形式でレジストリ（LSA Secrets）に保存されます。

HKEY_LOCAL_MACHINE /セキュリティ/ポリシー/秘密

LSAシークレットからパスワードを抽出する方法はいくつかあります。

• レジストリパスを一時パスにコピーし、暗号化されたパスワードを復号化する
• シャドウコピーを使用する
• 特別なユーティリティを使用してlsass.exeプロセスを操作します

SQL Serverサービスが実行されているアカウントからパスワードを取得してみましょう。
あります：
Windows Server 2012 R2のドメインコントローラー
SQL Server Express 2012
SQL Serverをインストールするときに、サービスを開始するために、既存のドメインアカウントを具体的に指定します（パスワードは14文字未満です）。



パスワードを抽出するには、gsecdumpユーティリティを使用します。
PowerShellを管理者として実行し、コマンドgsecdump-v2b5.exe -lを実行します
結果：



この種類の攻撃から保護するために、Windows Server 2008 R2では、管理されたサービスアカウントメカニズムが導入されました。
管理されたサービスアカウントは、他の管理者への管理の委任を含む、メンバーサービス名の自動パスワード管理と簡易管理を提供する管理ドメインアカウントです。
管理されたサービスアカウントの利点：

• 自動パスワード変更。 デフォルトのパスワード変更は、30日ごとに1回です。
• パスワードは複雑です。 240文字の複雑な自動生成パスワードがランダムな順序で使用されます（前半は英語のアルファベットの文字、後半は数字およびその他の文字です）
• 冗長な権利の欠如
• 複数のサーバーで1つのMSAを使用する機能（gMSA）。 NLBサービスで使用する場合など、すべてのサービスインスタンスが同じサブジェクトを使用する必要がある場合
• SPN管理

名前変更時にSPNの名前を自動的に変更する
-サーバーアカウント
-サーバーアカウントのdnshostnameプロパティ
-サーバーアカウントの追加aldnshostnameプロパティの変更
-サーバーアカウントのadditionalsam¬accountnameプロパティの変更

MSAをサポートするサービスおよびサービス：

• IIS
• AD LDS
• SQL Server 2008 R2 SP1、2012
• MS Exchange 2010、2013

MSA要件：

• ドメインおよびフォレストレベル-Windows Server 2008 R2
• Windows Server 2008 R2、Windows 7（Professional、Enterprise、Ultimate）
• .Net Framework 3.5x
• PowerShell用のActive Directory管理モジュール
• インストール済みパッチ2494158

フォレストおよびドメインに2008 R2（MSA）および2012（gMSA）レベルがない場合、次のコマンドでフォレストレベルを上げる必要があります。
adprep / forestprep
コマンドを使用したドメインレベル：
管理されたサービスアカウントを作成して使用する各ドメインのadprep / domainprep 。

PowerShellでMSAを有効にする
1）コマンドレットを実行します： Import-Module ActiveDirectory
2）MSAアカウントを作成するには、コマンドレットを実行する必要があります。
New-ADServiceAccount serviceaccount –RestrictToSingleComputer
ここで、serviceaccountはMSAアカウントの名前です
RestrictToSingleComputer-このパラメーターは、MSAが1つのサーバーのみにバインドされることを意味します。
Active Directoryユーザーとコンピューターに移動して、MSAが作成されていることを確認できます（マネージドサービスアカウントセクションを表示するには、スナップインで[表示]-[高度な機能]を有効にする必要があります）。


3）MSAをサーバーにバインドするには、コマンドレットを実行する必要があります。
Add-ADComputerServiceAccount -Identity server -ServiceAccount serviceaccount
serverは、MSAに関連付けられるサーバーの名前です
serviceaccount-MSAアカウント名
操作が成功したことを確認するには、Active Directoryユーザーとコンピュータースナップインに移動し、サーバープロパティに移動してmsDS-HostServiceAccount属性を確認する必要があります。


4）管理されたサービスアカウントをローカルコンピューターにインストールする
コマンドレットを実行する必要があります。
Install-ADServiceAccount -Identity serviceaccount
ここで、serviceaccountはMSAアカウントの名前です
5）MSAのテスト（Windows 8.1、Windows PowerShell 4.0、Windows Server 2012 R2）
コマンドレットを実行する必要があります。
Test-ADServiceAccount serviceaccount
ここで、serviceaccountはMSAアカウントの名前です
TrueまたはFalseを返します
6）MSAに代わって開始するようにWindowsサービスを設定し、サービスを再起動します。
MSA名の最後に$記号を含めるようにしてください。
パスワードフィールドは空白にしておく必要があります。


gsecdumpユーティリティを使用して、サービスアカウントのパスワードを確認します


Windows Server 2012では、グループ管理サービスアカウントが導入されました。
管理アカウントを1つのサーバーではなく、複数のサーバーにバインドできます。
これは、たとえば、ネットワーク負荷分散サービスで使用するために必要になる場合があります。

要件：

• スキーマレベル-Windows Server 2012
• Microsoftキー配布​​サービスを実行しているWindows Server 2012（R2）ドメインコントローラー
• Windows Server 2012、2012 R2、8、8.1
• PowerShell用のActive Directory管理モジュール

PowerShellでgMSAを有効にする
1）Microsoftキー配布​​サービスがオンになっていることを確認します
「キー配布サービスは共有シークレットを使用してアカウントキーを作成します。 これらのキーは定期的に変更されます。 グループ管理されたサービスアカウントの他の属性に加えて、Windows Server 2012ドメインコントローラーは、キー配布サービスによって提供されるキーのパスワードを計算します。 Windows Server 2012ドメインコントローラーに接続することにより、Windows Server 2012およびWindows 8ホストは現在および以前のパスワードを取得できます。
2）ルートキーを作成する
コマンドレットは、ルートキーの作成を担当します。
Add-KdsRootKey
新しいルートキーを作成するには、コマンドレットを実行する必要があります。
Add-KdsRootKey –EffectiveImmediately
この場合、キーは複製されるまで10時間で利用可能になります。
コマンドレットを実行できます：
Add-KdsRootKey –EffectiveTime（（get-date）.addhours（-10））
この場合、キーはすぐに利用可能になります（仕事の10時間）
3）gMSAを作成する
コマンドレットを実行します。
New-ADServiceAccount serviceaccount -DNSHostName test.test.com –PrincipalsAllowedToRetrieveManagedPassword $ test
ここで、serviceaccountはgMSAアカウントの名前です
test.test.com-ルートキーが作成されたサーバーの名前
$ test-KDSに情報を問い合わせることができるサーバーの名前

Active Directoryユーザーとコンピューターに移動し、gMSAが作成されていることを確認できます（マネージドサービスアカウントセクションを表示するには、スナップインで[表示]-[高度な機能]を有効にする必要があります）。


4）管理されたサービスアカウントをローカルコンピューターにインストールする
コマンドレットを実行する必要があります。
Install-ADServiceAccount -Identity serviceaccount
ここで、serviceaccountはgMSAアカウントの名前です
5）MSAのテスト（Windows 8.1、Windows PowerShell 4.0、Windows Server 2012 R2）
コマンドレットを実行する必要があります。
Test-ADServiceAccount serviceaccount
ここで、serviceaccountはMSAアカウントの名前です
TrueまたはFalseを返します
6）gMSAに代わって実行するようにWindowsサービスを設定し、サービスを再起動します。
gMSA名の最後に$記号を含めるようにしてください。
パスワードフィールドは空白にしておく必要があります。


gsecdumpユーティリティを使用して、サービスアカウントのパスワードを確認します


Uninstall-ADServiceAccountコマンドレットを使用して、MSA / gMSAを削除できます。

Set-ADServiceAccountコマンドレットを使用して、MSA / gMSAパラメーターを設定できます
パスワード変更期間の設定：
Set-ADServiceAccount serviceaccount -ManagedPasswordIntervalInDays 60
ここで、serviceaccountはgMSAアカウントの名前です
60-パスワードが変更されるまでの期間
MSAを使用するためのKerberos暗号化アルゴリズムの定義
オプション：RC4、AES128、AES256
Set-ADServiceAccount serviceaccount -KerberosEncryptionType RC4、AES128、AES256
SPNの割り当て
Set-ADServiceAccount serviceaccount -ServicePrincipalNames @ {Add = "add SPN"}

サービスのNetBIOS名の設定（SAMAccountName）
指定されていない場合、識別子Nameが使用されます。
設定されている場合、ADの表示名はNameから、ログインの識別子はSAMAccountNameから
Set-ADServiceAccount serviceaccount –SamAccountNameテスト

MSAは、セキュリティを向上させるもう1つの方法です。