Windows Server 2016

Windows Server 2016 Managed Service Accounts

Managed Service Accounts (Yönetilen Servis Hesapları)

 

Managed Service Accounts (MSA), uygulamalar, servisler ve arka plan işlemlerinin kimlik doğrulamasında kullanılan servis hesapları için basitleştirilmiş parola ve SPN (Service Principle Name) yönetimini etkinleştiren Active Directory nesnesidir.

 

Windows sistemler üzerinde bulunan uygulamalar, servisler ve arka plan işlemlerinin kimlik doğrulaması için, genel olarak yerel hesaplar kullanılır ya da domain ortamında kullanıcı hesapları oluşturulur. Hizmet kesintisine sebep olmaması için bu kullanıcı hesaplarının şifreleri süresi dolmayacak şekilde tanımlanır. Bu hesapların sayısı arttıkça yönetimi ve takibi zorlaşır ve güvenlik riskleri artar. Servis hesaplarının yönetimini kolaylaştırmak ve daha az güvenlik riski oluşturmasını sağlamak için Managed Service Accounts (MSA) kullanılır.

 

Service Accounts (Servis Hesapları)

Microsoft SQL Server ya da Internet Information Services (IIS) gibi birçok uygulama, yüklü olduğu sunucu üzerinde çalışan servisleri barındırır. Bu servisler, sunucu başladığı zaman ya da bazı tetikleyiciler ile herhangi bir kullanıcı etkileşimine gerek kalmadan otomatik olarak çalışmaya başlar. Servislerin başlatılması ve kimlik doğrulaması için bir servis hesabı kullanılır. Bu servis hesabı, yerleşik olarak Local System, Local Service, Network Service olabilir ya da Active Directory Domain üzerinde oluşturulan bir hesap olabilir.

  • Local System. Yerel sistem üzerinde kapsamlı ve çok yüksek ayrıcalıklara sahip bir hesaptır. Ağ kaynaklarında bir bilgisayar hesabı gibi işlem gerçekleştirir. Hesabın adı: NT AUTHORITY \ SYSTEM şeklindedir.
  • Local Service. Bireysel hizmetlerin veya süreçlerin tehlikeye atılmaması için sınırlı erişimi vardır. Yerel kullanıcılar grubunun üyeleriyle aynı kaynaklara ve nesnelere erişim düzeyine sahiptir ve herhangi bir kimlik bilgisi olmadan ağ kaynaklarına boş oturum olarak erişir. Hesabın adı: NT AUTHORITY \ LOCAL SERVICE şeklindedir.
  • Network Service. Kullanıcılar grubunun üyelerine göre kaynaklara ve nesnelere daha fazla erişme sahiptir. Network Service olarak çalışan servisler, bilgisayar hesabının kimlik bilgilerini kullanarak ağa kaynaklarına erişir. Hesabın adı: NT AUTHORITY \ NETWORK SERVICE şeklindedir.
  • Domain User. Active Directory üzerinde oluşturulan bir hesap ile servisin uygun erişim yetkileri ile çalışması sağlanabilir. Fakat yönetim zorluğu ve güvenlik riskleri bulunmaktadır.

 

Yaşanılan bu problemlere çözüm olması için Windows Server 2008 R2 ile beraber Managed Service Accounts (MSA) kullanılmaya başlanmıştır.

 

 

MSA Nasıl Çalışır?

MSA’lar Active Directory üzerinde msDS-managedServiceAccount nesnelerinde depolanır. Bu nesne, User nesnesinden türetilen bir Computer nesnesinden yapısal özellikler devralır. Bu sebeple MSA, servisler için kimlik doğrulama gibi işlemleri kullanıcı benzeri işlevler ile yerine getirirken, Active Directory’deki Computer nesnelerinin kullandığı parola güncelleştirme mekanizmasını kullanabildiği için kullanıcı müdahalesine gerek kalmadan parolaları otomatik olarak yönetilir.

MSA’lar Active Directory’de CN=Managed Service Accounts, DC=matasoylu, DC=com konteyner’ında tutulur.

 

MSA Gereksinimleri

MSA kullanmak için, servis veya programların çalıştığı sunucu işletim sisteminin Windows Server 2008 R2 veya daha üstü olması gerekir. Ayrıca sunucu üstünde Microsoft .NET Framework 3.5 ve Active Directory Module for Windows PowerShell’in yüklü olması gerekir. Otomatik olarak Parolaların ve SPN’lerin yönetilmesi için, Active Directory Domain Forest Level’in Windows Server 2008 R2 ve üstü olması gerekmektedir.

Not: Birden çok sunucuda veya cluster sunucular üstünde replica olarak çalışan servislerde MSA kullanılamaz. Bu gibi durumlar için Group Managed Service Account (GMSA) kullanılır.

Windows Server 2016 üzerinde yeni bir MSA oluşturulduğunda varsayılan olarak Group Managed Service Account (GMSA) oluşturulur. Fakat öncesinde Windows Server 2016 Domain Controller üzerinde, Domain için Key Distribution Service (KDS) root key oluşturulması gerekmektedir. Bu root key’i üretmek için aşağıdaki PowerShell komutu kullanılır.

 

 

Group MSA Nedir?

Standart MSA’ların yeteneklerini birden fazla sunucu üzerinde kullanmak için Group MSA kullanılır. Load Balance veya Cluster ortamlarda bulunan IIS sunucuları gibi sistemler üzerinde aynı servis hesabı kullanılması gerekir. Standart MSA’lar birden fazla sunucu üstünde çalışamadığı için Group MSA’ları kullanarak birden çok sunucu üzerinde otomatik parola ve SPN yönetimi sağlanabilir.

 

Group MSA Gereksinimleri

Group MSA kullanabilmek için ortamınızın aşağıdaki gereksinimleri karşılaması gerekir.

Windows Server 2012 veya daha üstü işletim sistemine sahip Domain Controller.

Group MSA kullanılacak olan sunucuların, Windows Server 2012 veya daha üstü işletim sistemi.

Domain Controller üzerinde KDC root key oluşturulması. Windows Server 2016 üzerinde KDC root key oluşturmak için aşağıdaki PowerShell komutu çalıştırılır.

 

Group MSA Kullanımı

Group MSA, Yönetilen Servis Hesabı işlevini birden çok sunucuda etkinleştirir. Parola yönetimi için Domain Controller’ları yetkilendirerek tek bir sunucu ile Active Directory arasındaki ilişkiye bağımlı kalmadan bütünüyle Active Directory tarafından yürütülür.

Windows Server 2016 Domain Controller üzerinde Group MSA oluşturmak için aşağıdaki PowerShell komutu kullanılır.

 

Group MSA oluşturuluruken Active Directory Grupları’da kullanılabilir.

 

Bir cevap yazın

Yapacağınız yorumlar için, aşağıda verdiğiniz bilgileriniz ve IP adresiniz kaydedilecektir. KVKK kapsamında bu bilgiler başkaları ile paylaşılmayacak olup, yapacağınız yorumlar içerisinde suç teşkil edecek bir unsur bulunması durumunda, saklanan bu bilgileriniz yetkili kişi ve kuruluşlar ile paylaşılacaktır. Gerekli alanlar * ile işaretlenmiştir.