FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

组托管服务账号(Group Managed Service Account,GMSA)

组托管服务账号(GMSA)是Active Directory提供的一种增强型服务账号，用于在域环境中支持服务、任务或应用程序的身份验证和运行。GMSA的核心特性在于其密码由域控制器自动管理，并通过安全组实现多设备动态授权，从而简化了服务账户的管理，提高了安全性和灵活性。相比传统的服务账户（如普通用户账户或MSA)，GMSA更适合分布式系统和集群服务的使用场景。
GMSA的密码由域控制器统一生成、存储并定期更新，这意味着管理员无需手动管理密码，降低了密码泄露的风险。它支持多个计算机同时使用一个GMSA,而这通过Active Directory安全组来控制哪些设备可以访问GMSA的凭据。GMSA不支持交互式登录，仅供服务或任务使用，因此它的密码不会以明文形式暴露给用户，而是通过Kerberos和LDAP协议动态分发。这种设计特别适用于需要高安全性和高可用性的分布式服务，例如SQL Server集群、IIS Web服务和跨域认证场景。

GMSA的密码存储在Active Directory的msDS-ManagedPassword属性中。通过LDAP查询该属性即可确认一个账户是否是GMSA。此外，GMSA的userAccountControl属性通常具有SERVER_TRUST_ACCOUNT和TRUSTED_TO_AUTH_FOR_DELEGATION标志，这些也是识别GMSA的重要依
据。

GMSA与其他用户的比较：
说下适用场景，GMSA的设计初衷是简化复杂环境中服务账户的管理，同时提升安全性。它尤其适用于分布式系统和集群服务，例如SQL Server AlwaysOn集群、负载均衡服务、IIS网站、分布式文件系统等。此外，GMSA还广泛用于需要高安全性认证的场景，例如跨域信任中的Kerberos委派。通过安全组的动态授权，GMSA可以在多个设备之间安全共享，而无需额外创建多个服务账户。

GMSA优缺点均有，GMSA的优点在于其密码完全由域控制器自动管理，消除了传统服务账户密码泄露和过期的问题。此外，通过安全组动态授权，GMSA简化了跨设备、跨服务的权限分配过程，提高了管理效率和灵活性。然而，GMSA的依赖性也较强，它只能在Active Directory域环境中使用，且仅支持Windows系统。这种限制使得其在混合平台或非域环境中无法直接应用。同时，GMSA的配置和授权过程对管理员的知识水平要求较高，初始学习成本较大。

总之，组托管服务账号(GMSA)通过域控制器统一管理密码，并结合安全组动态授权机制，成为现代域环境中服务账户管理的最佳实践之一。它极大地提高了服务账户的安全性和可扩展性，特别适合多设备协作、分布式系统和高安全性认证场景。尽管其依赖于Active Directory域环境和Windows系统，但在适用场景下，GMSA凭借其灵活性和高效性成为服务账户管理的重要工具。

红队攻击中如何对待和利用GMSA

组托管服务账户(GMSA)是域环境中常见的高价值目标，其高权限、动态密码管理和多设备支持特性，使其在红队攻击中成为重点利用对象。红队在攻击中应从识别、获取凭据、滥用凭据和提升权限四个阶段进行全面利用，同时注意操作隐匿以规避防御机制。

首先是信息收集，要识别出GMSA。在红队攻击中，识别GMSA是利用的前提。首先，可以通过LDAP枚举账户的属性，筛选出具有msDS-ManagedPassword属性的对象，这一属性是GMSA的核心标志，其中msDS是微软目录服务(Microsoft Directory Services)的首字母。此外，GMSA的userAccountControl属性通常包含特定标志（如SERVER_TRUST_ACCOUNT和TRUSTED_TO_AUTH_FOR_DELEGATION),也是重要的识别依据。如果目标环境中使用了常见的账户命名规范（如账户名以$结尾），也可以通过枚举账户名快速筛选可能的GMSA。此外，借助工具如Netexec、BloodHound或Impacket的GetUserSPNs脚本，可以自动化识别域中可能的GMSA账户

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）