Wer kennt Managed Service Accounts?

Seit Windows Server 2008 R2 gibt es in Windows sogenannte Managed Service Accounts, in Windows Server 2012 durch Group Managed Service Accounts (gmsa) erweitert. Ein Managed Service Account soll die klassischen Dienstkonten ersetzen – jene Konten, mit denen man den SQL- oder Exchange-Server betreibt, und dessen einfach zu merkendes Kennwort man vor 15 Jahren einmal festgelegt und danach nie wieder geändert hat.

Solche Service-Accounts sind ein großes Einfallstor für Angreifer, weil sie für sogenannte Kerberoasting-Attacken anfällig sind. Dabei fordert der Angreifer per Kerberos, dem AD-Authentifizierungsverfahren, ein sogenanntes Service-Ticket für den Dienst an, das mit dem Kennwort des Dienstkontos verschlüsselt ist.

Nachdem der Angreifer das Ticket bekommen hat, kann er in aller Seelenruhe mit beliebig vielen Durchläufen versuchen, das Ticket zu entschlüsseln – denn das Ticket ist ja mit dem Kennwort des Dienstkontos gesichert. Hat er das richtige Kennwort erraten, hat er Zugriff auf den Dienst und damit auf den SQL-Server, Exchange oder welche Berechtigungen das Dienstkonto auch immer hat. Eine Kerberoasting-Attacke braucht dafür nur Zugriff auf ein einfaches Benutzerkonto – also einen gehackten Rechner im Netz.

Managed Service Accounts verhindern Kerberoasting-Attacken effektiv, denn für einen Group Managed Service Account legt kein Admin das Kennwort fest, sondern die Domänencontroller – und der Computer, auf dem der Service läuft, liest das Kennwort aus dem AD aus. Das Kennwort wird dabei alle 30 Tage neu gesetzt; es ist immer komplett zufällig und 128 Zeichen lang.

Dadurch ist das Entschlüsseln des Service-Tickets faktisch unmöglich. Noch besser – man muss sich anschließend nie wieder um den Service-Account kümmern, und das Kennwort muss man sich auch nicht merken.

Leider haben die Managed Service Accounts ein Problem: Kaum jemand hat je von ihnen gehört. Das liegt daran, dass sie sich nur per Powershell anlegen lassen und der einzige Hinweis im AD, dass es sie gibt, ist die Organisationseinheit "Group Managed Service Accounts", die im Root des AD zu finden ist.

Ein Einzelfall? Mitnichten!

Warum das so ist, weiß wohl nur Microsoft allein, denn zum Anlegen eines Managed Service Accounts benötigt man nur einziges Kommando. Es wäre also ein Leichtes gewesen, hier einfach einen Menüeintrag zum Anlegen von Group Managed Service Accounts hinzuzufügen.

Eine Ausnahme? Nein. Weiteres Beispiel: das LAPS-Tool, das Microsoft vor zehn Jahren entwickelt und zum freien Download zur Verfügung gestellt hat, das aber nach meiner Erfahrung als IT-Trainer selbst nach zehn Jahren bei vielen Unternehmen immer noch unbekannt ist.