Mit der Einführung von Windows Server 2025 bringt Microsoft eine neue Art von verwaltetem Dienstkonto auf den Markt: die Delegated Managed Service Accounts (dMSA). Diese Weiterentwicklung der Group Managed Service Accounts (gMSA) verspricht verbesserte Sicherheit, flexiblere Verwaltungsoptionen und eine effizientere Integration in bestehende Active Directory-Umgebungen.
Neben den technischen Vorteilen gibt es jedoch auch Sicherheitsbedenken. Eine neue Schwachstelle in der Verwaltung von dMSA kann dazu führen, dass Angreifer unautorisierte Berechtigungen erhalten – ein Risiko, das Unternehmen im Blick behalten müssen.
1. Was sind Delegated Managed Service Accounts (dMSA)?
Ein Delegated Managed Service Account (dMSA) ist eine neue Funktion in Windows Server 2025, die speziell für die sichere und automatisierte Verwaltung von Dienstkonten in Active Directory entwickelt wurde.
Wichtige Funktionen von dMSA:
- Automatische Passwortrotation: AD generiert und aktualisiert dMSA-Passwörter regelmäßig, um kompromittierte Zugangsdaten zu verhindern.
- Delegierte Berechtigungsverwaltung: IT-Administratoren können Rechte gezielt delegieren, sodass Teams oder Abteilungen dMSA-Konten verwalten können, ohne hohe Admin-Rechte zu benötigen.
- Nahtlose Migration bestehender Konten: Alte, nicht verwaltete Dienstkonten können automatisch in dMSA konvertiert werden, wodurch Sicherheitsrisiken reduziert werden.
- Erweiterte Sicherheitsmechanismen: Neue Authentifizierungsprozesse und verbesserte Protokollierung sorgen für mehr Kontrolle und Transparenz.
- Schutz vor „Pass-the-Hash“-Angriffen: Regelmäßige Passwortrotation minimiert das Risiko von Credential-Theft.
Mit diesen Features soll dMSA die Verwaltung und Sicherheit von Dienstkonten erheblich verbessern.
2. Vergleich: dMSA vs. gMSA
Obwohl sich dMSA und gMSA in vielen Punkten ähneln, gibt es einige entscheidende Unterschiede.
| Eigenschaft | dMSA (Windows Server 2025) | gMSA (Windows Server 2012+) |
|---|---|---|
| Passwortverwaltung | Automatisch (durch AD) | Automatisch (durch AD) |
| Nutzung auf mehreren Hosts | Ja | Ja |
| Delegierte Verwaltung | Ja | Nein |
| Sicherheitsmechanismen | Erweiterte Authentifizierung | Standard-Sicherheitsmodelle |
| Migration bestehender Konten | Ja | Nein |
Während gMSA eine stabile Lösung für verwaltete Dienstkonten darstellt, geht dMSA einen Schritt weiter, indem es Berechtigungsverwaltung und Sicherheitsmaßnahmen verbessert.
3. Sicherheitsvorteile von dMSA gegenüber herkömmlichen Dienstkonten
Viele Unternehmen kämpfen mit Sicherheitsproblemen bei der Verwaltung von Dienstkonten. Herkömmliche Konten nutzen oft statische Passwörter, die nicht regelmäßig geändert werden. Zudem sind sie häufig mit übermäßigen Berechtigungen ausgestattet, die ein erhebliches Risiko darstellen.
Wie dMSA die Sicherheit erhöht:
- Automatische Passwortrotation: Keine statischen Zugangsdaten mehr – dMSA sorgt dafür, dass Passwörter regelmäßig durch AD erneuert werden.
- Delegierte Verwaltung: Durch gezielte Rechtezuweisungen verhindert dMSA unnötige Berechtigungseskalationen.
- Erweiterte Protokollierung: dMSA-Änderungen können durch Event IDs 5136 & 5137 überwacht werden.
- Pass-the-Hash-Schutz: Angreifer haben weniger Chancen, Hash-Werte langfristig auszunutzen.
- Automatische Migration bestehender Konten: Dadurch werden unsichere, nicht verwaltete Dienstkonten eliminiert.
Diese Funktionen machen dMSA zu einer optimalen Lösung für Unternehmen mit hohen Anforderungen an Sicherheit und Compliance.
4. Aktuelle Sicherheitsproblematik bei dMSA
Obwohl dMSA erhebliche Sicherheitsvorteile bietet, wurde eine neue Schwachstelle entdeckt, die Angreifern ermöglichen könnte, privilegierte Benutzerkonten zu kompromittieren.
Details zur Sicherheitslücke:
- Manipulation von dMSA-Attributen: Durch gezielte Änderungen in AD-Objekten können Angreifer unautorisierte Rechte erlangen.
- Missbrauch der Delegationsmechanismen: Fehlkonfigurierte Berechtigungen können von Angreifern genutzt werden, um Zugriff auf sensible Systeme zu erhalten.
- Fehlender Patch: Microsoft hat bislang keinen offiziellen Patch veröffentlicht.
Die Firma Akamai hat ein Powershell-Skript erstellt, dass die User, Gruppen und Computer ausgibt, welche dMSAs erstellen dürfen sowie die für die Funktionalität erlaubten OUs.
Empfohlene Schutzmaßnahmen:
- Überwachung von dMSA-Erstellungen und Änderungen über Event IDs 5136 & 5137.
- Restriktive Berechtigungen für dMSA setzen, um unautorisierte Änderungen zu verhindern.
- Sicherheitsrichtlinien zur Nutzung von dMSA implementieren, um Missbrauch zu vermeiden.
- Regelmäßige Audits von AD-Dienstkonten, um verdächtige Aktivitäten zu identifizieren.
Solange Microsoft keinen offiziellen Patch bereitstellt, sollten Unternehmen besonders aufmerksam mit dMSA umgehen und Schutzmechanismen implementieren.
5. Praktische Anwendungsfälle für dMSA
Obwohl dMSA eine neue Funktion in Windows Server 2025 ist, gibt es typische Einsatzszenarien, die sich aus bestehenden Managed Service Accounts (MSA) ableiten lassen:
- SQL Server – Unternehmen nutzen gMSA für SQL-Authentifizierung. dMSA könnte dies um delegierte Berechtigungsverwaltung erweitern.
- IIS-Webserver – Dienstkonten für Webserver könnten mit dMSA sicherer und effizienter verwaltet werden.
- Active Directory-Dienste – dMSA bietet eine Automatisierung für bestehende AD-Konten und verringert Sicherheitsrisiken.
- Cloud-Integration – dMSA könnte als Brücke zwischen Azure AD und On-Prem AD fungieren.
Da Microsoft dMSA als Erweiterung von gMSA konzipiert hat, werden sich viele bestehende Anwendungen und Szenarien für dMSA adaptieren lassen.
Zusammenfassend
Mehr Sicherheit: Automatische Passwortrotation und moderne Authentifizierungsmechanismen
Flexiblere Verwaltung: Delegierte Rechte für Teams und Anwendungen
Nahtlose Migration bestehender Konten: Schließt Sicherheitslücken in älteren AD-Objekten
Ideal für komplexe IT-Infrastrukturen: Weniger manuelle Verwaltung, mehr Automatisierung
Überwachungsmöglichkeiten: Event-Logs für volle Transparenz und Kontrolle
Mit Windows Server 2025 könnte dMSA eine zentrale Rolle bei der Verwaltung von Dienstkonten spielen. Nach Behebnung der Sicherheitsproblematik ist es eine vielversprechende Lösung für größere IT-Umgebungen.