CUENTAS DE SERVICIO
Cuando hablamos de cuentas de servicio, hacemos referencia a cuentas normales de usuario pero las cuales van a ser utilizadas por un "servicio" como por ejemplo Internet Information Services IIS o SQL Server, la única diferencia con una cuenta normal de usuario, es que indicamos que la contraseña nunca caduca, lo cual claramente representa un riesgo de seguridad, y si por alguna razón el dominio no maneja contraseñas complejas el riesgo es aún mayor, se hace de este modo debido a que generalmente se puede utilizar una cuenta de dominio en más de un equipo, por ejemplo, el servicio de una herramienta de copia de seguridad se puede configurar para correr en múltiples equipos al mismo tiempo, sin embargo si cambia la contraseña de dominio, debe cambiarla manualmente en cada uno de los servidores que la usan.
.jpg)
CUENTAS DE SERVICIO ADMINISTRADAS
Para desafiar los riesgos expuestos en el punto anterior, a partir de Windows Server 2008 R2, Microsoft lanzó una característica llamada Managed Service Account (MSA en adelante) o cuenta de servicio administrada en español.
Se trata de una cuenta de dominio que se asocia a un servicio en un único computador, y uno o varios servicios pueden usar dicha cuenta en el mismo servidor como cuenta para iniciar el servicio. El computador, de manera automática cambia la contraseña de la cuenta de servicio cada 30 días por defecto.
Otro tema asociado MSA es la administración de los Service Principal Names (SPN) los cuales son componentes críticos de la autenticación Kerberos. Las cuentas de servicio administradas se aseguran que si el nombre de un computador cambia los SPN asociados con el servicio en ejecución cambian en el dominio, adicionalmente la administración de SPN puede ser delegada a otros administradores.
Para poder utilizar MSA el nivel funcional del dominio debe ser Windows Server 2008 R2 en adelante, si el nivel funcional es Windows Server 2008, puede usar MSA pero la administración de SPN debe hacerse de forma manual. MSA puede usarse en equipos desde Windows 7 en adelante y en servidores Windows Server 2008 R2 en adelante no es posible utilizar esta característica en versiones anteriores a las mencionadas.
CREAR Y CONFIGURAR UNA CUENTA DE SERVICIO ADMINISTRADA
Hasta el momento para crear y utilizar MSA se debe hacer uso de Windows PowerShell, no existe una GUI para hacerlo.
Para crear una MSA se debe ejecutar lo siguiente:
Add-KdsRootKey –EffectiveTime ((get-date).addhours(-10))
.jpg)
Seguidamente, ejecutamos lo siguiente:
New-ADServiceAccount MiServicio -Enabled $true -Path "CN=Managed Service Accounts, DC=contoso,DC=com"
.jpg)
Nota sobre versiones: Es importante tener en cuenta que las MSA solamente pueden usarse con servicios Windows, hasta el momento esta característica no es soportada en servicios que no sean Windows, por otra parte, al no poder usarse la cuenta en más de un computador, no es posible usarlas en servicios de balanceo de carga o en cluster, como por ejemplo granjas de Sharepoint, ya que éstas usan varios servidores, pero OJO, esto solo ocurre si usa Windows Server 2008 R2, si está usando Windows Server 2012 R2 puede utilizar una nueva característica llamada Group Managed Service Account gMSA, que permite usar la misma cuenta en más de un servidor, lo cual significa que ahora si la podemos usar en servicios de balanceo de carga y cluster.
Para crear grupos de cuentas de servicio administradas solo se hacen unos pequeños cambios, que básicamente consisten en indicar los nombres de los computadores que pueden usar la cuenta agregando el signo $
Set-ADServiceAccount –Identity MiServicio -PrincipalsAllowedToRetrieveManagedPassword SRV01$, SRV02$
.jpg)
Si tiene varios equipos para crear el grupo, tal vez prefiera especificar un grupo de seguridad que contenga todos lo equipos que conformarán el grupo, en lugar de especificar uno por uno, para ello puede ejecutar lo siguiente, suponiendo que el grupo que contiene los equipos se llama GMSA-Group
New-ADServiceAccount –Name MiServicio –PrincipalsAllowedToRetrieveManagedPassword GMSA-Group –DNSHostname dc1.contoso.com
Por último, ya podemos hacer uso de la cuenta en cualquier servicio Microsoft que ofrezca soporte para MSA o GMSA.
Si revisamos el contenedor Managed Service Accounts en Active Directory podemos observar que allí se encuentra la MSA.
.jpg)
Luego, podemos usar la cuenta en cualquier servicio, buscándola desde las propiedades del mismo.
.jpg)
.jpg)
3 comentarios:
Hola Cesar,
Como puedo instalar el modulo de Add-KdsRootKey, al ejecutar la orden me dice que no se reconoce como nombre cmdlet.
Muchas gracias,
AngelFB
Excelente información. Gracias muy util
Hola Cesar,Consulta, estas cuentas de servicio sirven para autenticar recursos compartidos en windows server 2012 r2 ?
Publicar un comentario