Guide des gMSA : sécurité et déploiement des comptes de service administrés de groupe

Sécurité des données

Illustration de différents comptes utilisateur

Au sein de chaque organisation, diverses tâches ou applications automatisées s’exécutent en arrière-plan sur les appareils du réseau. Pour gérer et sécuriser ces processus automatisés de manière optimale, vous pouvez vous appuyer sur des comptes de service administrés de groupe, aussi appelés gMSA.

Dans cet article, nous expliquons ce qu’est un gMSA, en quoi son rôle est important et comment en créer un pour votre réseau et votre organisation.

Qu’est-ce qu’un gMSA ?

Les comptes de service administrés de groupe, ou gMSA, sont un type de compte de service administré offrant une sécurité supérieure aux comptes de service administrés classiques pour les applications, services, processus et tâches automatisés et non interactifs nécessitant des identifiants.

Disponibles sur les ordinateurs équipés de Windows Server 2012 et versions supérieures, les gMSA ont largement remplacé les sMSA (comptes de service administrés autonomes) aussi appelés MSA (comptes de service administrés), car ils peuvent être utilisés sur plusieurs serveurs et exécuter plusieurs tâches automatisées.

Pourquoi les comptes de service et les gMSA sont-ils importants ?

Ces comptes non personnels jouent souvent un rôle essentiel, car ils offrent un contexte de sécurité à de multiples services en arrière-plan s’exécutant sur des appareils Windows.

Sans sécurité adaptée, ces services d’arrière-plan sont ciblés et exploités par des hackers cherchant à s’infiltrer sur votre réseau par le biais de vos appareils. Les comptes de service administrés constituent ainsi un maillon de la chaîne de gestion de la sécurité de votre organisation.

Avantages de l’utilisation des gMSA

Les gMSA offrent plusieurs avantages en matière de sécurité et vous permettent de contrôler plus facilement vos comptes de service.

  • Ils prennent en charge plusieurs serveurs : à la différence des MSA ou des sMSA classiques, les gMSA permettent de configurer et d’exécuter les services et tâches sur plusieurs serveurs, un point crucial avec la modernisation des infrastructures des organisations.
  • La gestion des mots de passe est automatisée : pour faire bref, les gMSA simplifient la gestion des mots de passe en éliminant l’intermédiaire, à savoir vous. En effet, les mots de passe sont générés automatiquement, gérés par le système d’exploitation et modifiés régulièrement.
  • Les mots de passe sont gérés par le système d’exploitation : lorsque des applications ont besoin d’un mot de passe, elles interrogent Active Directory. Ainsi, vous n’avez même pas besoin de connaître ce mot de passe, ce qui rend bien plus difficile sa compromission.
  • Vous pouvez déléguer la gestion à d’autres administrateurs : la possibilité de déléguer la gestion peut s’avérer très utile pour s’assurer que la responsabilité de la sécurité de votre compte de service ne se retrouve pas entre les mains d’une seule personne.

Comment localiser et gérer des comptes de service administrés de groupe ?

Votre organisation a peut-être déjà créé des gMSA, auquel cas vous pourrez démarrer plus rapidement la gestion des comptes de service. La localisation des MSA ne présente pas de difficulté particulière.

Comment localiser des gMSA ?

Exécutez les commandes PowerShell suivantes :

Get-ADServiceAccount 

Install-ADServiceAccount 

New-ADServiceAccount 

Remove-ADServiceAccount 

Set-ADServiceAccount 

Test-ADServiceAccount 

Uninstall-ADServiceAccount

Vous devriez voir l’ensemble des gMSA dans l’arborescence Utilisateurs et ordinateurs Active Directory, au sein du dossier ou de l’unité organisationnelle Comptes de service administrés. Voici ce qui devrait s’afficher :

Comment configurer des gMSA ?

Il existe différentes façons de configurer un gMSA, ainsi que plusieurs prérequis. Nous vous présentons dans cet article la méthode mise en avant par Microsoft.

Comme nous l’avons mentionné précédemment, les gMSA ne sont disponibles qu’à partir de Windows Server 2012. Leur administration implique l’exécution de commandes PowerShell nécessitant une architecture 64 bits. Les MSA dépendent des types de chiffrement pris en charge par Kerberos et tout protocole de chiffrement, AES par exemple, doit être configuré pour les MSA.

Avant de commencer :

  • Assurez-vous que le schéma de la forêt a été mis à jour vers Windows Server 2012.
  • Vérifiez que vous avez bien déployé une clé racine principale pour Active Directory.
  • Confirmez que vous disposez d’au moins un contrôleur de domaine Windows Server 2012 dans le domaine dans lequel vous allez créer le gMSA.

Consultez cette page de la documentation Microsoft pour prendre connaissance de la liste exhaustive des exigences, prérequis et étapes supplémentaires.

Vous pouvez créer des gMSA via le cmdlet New-ADServiceAccount. Si AD PowerShell n’est pas installé, ouvrez Ajouter des rôles et des fonctionnalités dans le gestionnaire de serveur, rendez-vous dans Fonctionnalités, localisez RSAT, puis sélectionnez le module Active Directory pour Windows PowerShell.

Étape 1 : exécutez Windows PowerShell depuis la barre des tâches de votre contrôleur de domaine Windows Server 2012

Étape 2 : dans l’invite de commande, saisissez ce qui suit :

New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]

Explication des valeurs par lesquelles remplacer les mentions entre chevrons qui suivent les paramètres ci-dessous :

Name : nom de votre compte

DNSHostName : nom d’hôte DNS du service

KerberosEncryptionType : type de chiffrement pris en charge par les serveurs hôtes

ManagedPasswordIntervalInDays : fréquence à laquelle vous souhaitez modifier le mot de passe (30 jours par défaut, gardez à l’esprit que la modification du mot de passe est gérée par Windows)

* Remarque : ce paramètre ne peut plus être modifié une fois le gMSA créé. Pour modifier l’intervalle, vous devez créer un nouveau gMSA.

PrincipalsAllowedToRetrieveManagedPassword : il peut s’agir des comptes des hôtes membres ou des hôtes membres d’un éventuel groupe de sécurité

SamAccountName : nom NetBIOS du service s’il est différent du nom du compte

ServicePrincipalNames : liste des noms principaux de services (PSN)

Si vous avez créé une nouvelle batterie de serveurs jouant le rôle de groupe de sécurité pour le gMSA configuré ou si vous avez configuré le gMSA sur une batterie de serveurs existante, vous devez ajouter les comptes d’ordinateur de chaque nouvel hôte membre qui sera géré par le gMSA.

Pour ajouter des membres à cet objet de sécurité, différentes possibilités s’offrent à vous selon les accès dont vous disposez. Ces méthodes ne sont pas spécifiques aux gMSA.

Active Directory : vous pouvez ouvrir Active Directory via les outils d’administration du panneau de configuration ou, si vous utilisez Windows Server 2012, en cliquant sur Démarrer, puis en saisissant dsa.mcc.

Dans l’arborescence de la console, cherchez Ordinateurs, localisez le compte que vous souhaitez ajouter à un groupe, sélectionnez Propriétés, puis cliquez sur Ajouter dans l’onglet Membre de.

Saisissez le nom du groupe de sécurité géré par le gMSA et cliquez sur Ok pour ajouter le compte au groupe.

Ligne de commande : pour ajouter un compte à un groupe via la ligne de commande, ouvrez l’invite de commande et saisissez ce qui suit :

dsmod group <GroupDN> -addmbr <ComputerDN>

Voici les valeurs à utiliser :

GroupDN : désigne le groupe auquel vous souhaitez ajouter des comptes.

Addmbr : définit le nom de domaine de l’ordinateur <Computer DN>

ComputerDN : nom du compte d’ordinateur ajouté, identifié par le nom figurant dans l’annuaire

Windows PowerShell Active Directory : exécutez Windows PowerShell et saisissez la commande suivante :

  1. Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword

<string> : fait référence au nom du groupe auquel vous souhaitez que les membres appartiennent

PrincipalsAllowedToRetrieveManagedPassword : nom des comptes que vous souhaitez ajouter au groupe

Pour vous assurer que vous avez bien créé un gMSA, recherchez-le dans l’unité organisationnelle Comptes de service administrés à l’aide de la méthode décrite précédemment.

Quelles sont les bonnes pratiques de gestion des gMSA ?

Pour vous assurer que les gMSA sécurisent votre organisation, vous devez en assurer une gestion appropriée. Voici quelques conseils pour y parvenir.

Organisez-les de manière adéquate

Tous les gMSA doivent se trouver dans le dossier ou l’unité organisationnelle Comptes de service administrés. Toutefois, si vous disposez de plusieurs types de MSA au sein de cette unité, vous pouvez créer une sous-unité afin d’y placer tous vos gMSA et pouvoir y accéder facilement. Suivez une convention de dénomination cohérente pour faciliter l’organisation de vos gMSA.

Tenez l’inventaire de vos comptes de service

Votre organisation peut disposer de nombreux comptes de service actifs. Il peut être difficile de s’assurer qu’ils sont encore valides et pertinents, ainsi que de savoir quels ordinateurs et stations de travail appartiennent à chacun, mais cette vérification est essentielle pour appliquer le principe du moindre privilège et éviter tout problème de droit ou d’authentification.

Vous pouvez utiliser le cmdlet Get-ADService Account PowerShell ou des outils et solutions d’analyse ou automatisés de fournisseurs et partenaires de cybersécurité pour faciliter la gestion et la visibilité des comptes de service.

Gardez des habitudes de sécurité suffisantes

Vous devez toujours minimiser le risque auquel sont exposés les comptes de service. Vous devez donc éviter que les administrateurs utilisent leurs comptes personnels en tant que comptes de service et limiter au maximum les connexions interactives pour les services.

Un des avantages clés des gMSA réside dans l’automatisation de la gestion des mots de passe et le fait que l’authentification se déroule au sein du système d’exploitation. L’ajout d’une interaction humaine ne fait qu’introduire un facteur de risque supplémentaire.

Pourquoi utiliser des gMSA ?

Les gMSA permettent de gérer en toute simplicité et de manière sécurisée vos appareils sur site connectés à votre réseau. Ils facilitent aussi l’organisation de vos serveurs et hôtes, tout en minimisant l’exposition aux hackers tentés de vouloir s’attaquer à votre organisation par force brute.

Si vous avez mis en place plusieurs comptes de service administrés, nous vous recommandons de vous mettre en quête d’une solution ou d’un service en optimisant la visibilité et la gestion.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.