Cómo configurar y administrar cuentas de servicio administradas de grupo (gMSA).

El uso de cuentas de usuario con la finalidad de ejecutar servicios, cuentas de servicio, es una práctica común de la que deriva también la responsabilidad de administrar sus contraseñas. Desafortunada y frecuentemente, esto genera un problema de seguridad: que las contraseñas permanecen iguales durante largos períodos de tiempo, las hace vulnerables a ataques y a un uso inadecuado.

Sin embargo, las cuentas de servicio administradas de grupo (gMSA) proporcionan una solución más segura para ejecutar tareas, servicios y aplicaciones. Las gMSA se pueden usar desde Windows Server 2012, controlando todos los aspectos de la administración de contraseñas, que se generan de forma aleatoria y se cambian automáticamente cada cierto tiempo. Además, ningún usuario necesita conocer las contraseñas, ya que las gMSA están instaladas en el servidor y recuperan la información de sus contraseñas de Active Directory en tiempo de ejecución. Gracias a ellos, las gMSA son significativamente menos susceptibles al uso indebido y al riesgo en comparación con el uso de cuentas de usuario.

¿Por qué son importantes las cuentas de servicio administradas de grupo (gMSA)?

El uso de cuentas de servicio es importante para proporcionar seguridad a los servicios que se ejecutan en segundo plano en los servidores Windows que, sin las medidas de seguridad adecuadas, pueden ser atacados. Las gMSA ofrecen varios beneficios para la administración de la seguridad, que incluyen;

  1. La capacidad de ejecutar servicios y tareas en varios servidores
  2. Gestión automatizada de contraseñas
  3. Manejo de contraseñas a través del sistema operativo
  4. Delegación de la gestión a otros administradores

Cómo encontrar y administrar gMSA.

Es posible que ya se haya establecido gMSA en la organización, que proporcionan un punto de partida para administrar las cuentas de servicio. Buscar y administrar las gMSA es un proceso relativamente sencillo, que implica la ejecución de los siguientes comandos de PowerShell:

  • Get-ADServiceAccount
  • Install-ADServiceAccount
  • New-ADServiceAccount
  • Remove-ADServiceAccount
  • Set-ADServiceAccount
  • Test-ADServiceAccount
  • Uninstall-ADServiceAccount

Cómo configurar cuentas de servicio administradas de grupo (gMSA).

Para administrar gMSA mediante Powershell, se requiere una arquitectura de 64 bits. Es importante asegurarse de que el esquema de bosque se actualiza a Windows Server 2012, que se implementa una clave raíz maestra para Active Directory y que, al menos, un controlador de dominio de Windows Server 2012 está presente en el dominio en el que se creará la gMSA.

Para crear una cuenta de servicio administrada de grupo, se puede usar el cmdlet New-ADServiceAccount. Si no dispone de AD PowerShell, se puede instalar este módulo a través del Administrador del servidor. Los parámetros para crear una gMSA incluyen:

  • El nombre de la cuenta
  • El nombre de host DNS del servicio
  • El tipo de cifrado admitido por los servidores host
  • El intervalo de cambio de contraseña
  • Las cuentas permitidas para recuperar la contraseña administrada
  • El nombre NetBIOS del servicio
  • Los nombres principales de servicio (SPN) del servicio.

Las cuentas de equipo se pueden agregar al grupo de seguridad administrado por gMSA mediante la interfaz gráfica de usuario de Active Directory, la línea de comandos o los cmdlets de Active Directory de Windows PowerShell. Una vez creada la gMSA, se puede comprobar en la unidad organizativa Managed Service Accounts.

Prácticas recomendadas para administrar cuentas de servicio administradas de grupo.

Para asegurarse de que las cuentas de servicio administradas de grupo protejan eficazmente la organización, es esencial asegurarse de que se administran correctamente. A continuación, se presentan algunas sugerencias a este respecto:

 

  • Organización correcta: colocar todas las gMSA en la carpeta o unidad organizativa (OU) de la cuenta de servicio administrada. Si hay varios tipos de MSA, crear una subunidad organizativa para mantener todas las gMSA separadas y facilitar el acceso. Mantener una convención de nomenclatura uniforme también ayuda a organizar las gMSA de manera efectiva.
  • Inventario de las cuentas de servicio: es importante realizar un seguimiento de las cuentas de servicio de la organización para mantener la seguridad y evitar problemas de autenticación. Usar herramientas como cmdlets de PowerShell o una solución de ciberseguridad dedicada ayuda a administrar y supervisar estas cuentas de forma eficaz.
  • Prácticas de seguridad adecuadas: para reducir el riesgo de las cuentas de servicio, es importante evitar que los administradores usen sus cuentas personales como cuentas de servicio y minimizar los inicios de sesión interactivos para los servicios. Con gMSA se automatiza la administración de contraseñas y mantiene las autenticaciones dentro del sistema operativo, eliminando la necesidad de interacción humana.

Seguridad de la cuenta de servicio administrada de grupo.

Las cuentas de servicio administradas de grupo son un tipo de objeto específico en Active Directory y tienen atributos especiales relacionados con su contraseña y rotación. Para garantizar la seguridad, es importante limitar el acceso a estos atributos solo a los objetos de Active Directory necesarios. Los atributos de las gMSA incluyen:

  • La propia contraseña (msDS-ManagedPassword)
  • El identificador de clave (key ID) utilizado para la contraseña actual (msDS-ManagedPasswordID)
  • El identificador de clave (key ID) utilizado para la contraseña anterior (msDS-ManagedPasswordPreviousID)
  • Una lista de objetos con permiso para consultar la contraseña (msDS-GroupMSAMembership)
  • El intervalo de rotación de contraseñas (msDS-ManagedPasswordInterval)

Saber quién puede acceder a la contraseña es crucial, ya que se almacena en el atributo msDS-ManagedPassword. El acceso para consultar la contraseña viene determinado por el atributo msDS-GroupMSAMembership, pero también se requieren permisos adicionales de Active Directory. Los usuarios u objetos con permisos para consultar la contraseña también deben tener permisos de «lectura» para el atributo msDS-ManagedPassword de gMSA.

Para proteger las contraseñas de gMSA, se deben seguir dos pasos. En primer lugar, asegurarse que solo los objetos necesarios tienen permiso para consultar la contraseña y de que aparezcan en el atributo msDS-GroupMSAMembership. En segundo lugar, restringir el acceso para leer el atributo solo a los usuarios administrativos que necesitan acceso y a las cuentas de equipo en las que están instaladas las gMSA. Los permisos o configuraciones mal administrados pueden poner en peligro las gMSA, lo que permite a los atacantes escalar privilegios o moverse literalmente dentro de la red.

Monitorización de gMSA.

La habilitación de la directiva «Auditar el acceso al servicio de directorio» y la configuración de una SACL en gMSA permite generar registros de eventos que realizan un seguimiento de las consultas realizadas a los atributos de contraseña. Al supervisar estos registros, se identifica quién está accediendo a las contraseñas de las cuentas de gMSA. El identificador de evento 4662 se genera cuando esta configuración está activada y registra detalles como la cuenta que realizó la consulta y el atributo específico al que se accedió. Mediante el uso de una solución de auditoría de cambios dedicada, se puede realizar un seguimiento y supervisar eficazmente el acceso a estos atributos.

Cómo ayudamos desde MICROMOUSE a proteger las gMSA.

En MICROMOUSE recomendamos la plataforma de seguridad del dato Lepide. Lepide, proporciona visibilidad sobre cómo se crean, acceden y utilizan las cuentas de servicio administradas por grupos. Puede detectar el acceso a contraseñas de gMSA y las asignaciones de permisos de alto riesgo desde el primer momento. Con Lepide, se puede también crear un script personalizado para ejecutarlo cuando se detecte un abuso de gMSA. El script puede implicar varios pasos, como requerir que el usuario responda a una solicitud de MFA, deshabilitar la cuenta o crear un incidente de ServiceNow.

Lepide permite a los usuarios realizar un seguimiento de cada cambio en las gMSA, proporcionando valores de antes y después junto con detalles sobre quién, qué, dónde y cuándo se realizan los cambios críticos. Además, ayuda a solucionar problemas de bloqueos de cuentas y otras actividades de inicio de sesión relevantes, como intentos de inicio de sesión fallidos. Por último, también puede revertir cualquier cambio no deseado o no planeado en gMSA y recuperar objetos de un marcador de exclusión o estado reciclado.

¿Conoces ya Lepide? ¿Hablamos de ciberseguridad?