Just Enough Administration
Just Enough Správa istration (JEA) je technologie zabezpečení, která umožňuje delegovanou správu všeho, co spravuje PowerShell. S JEA můžete:
- Snižte počet správců na vašich počítačích pomocí virtuálních účtů nebo účtů služeb spravovaných skupinou, abyste mohli provádět privilegované akce jménem běžných uživatelů.
- Omezte, co můžou uživatelé dělat , zadáním rutin, funkcí a externích příkazů, které můžou spustit.
- Lépe porozumíte tomu, co uživatelé dělají s přepisy a protokoly, které ukazují, které příkazy uživatel spustil během relace.
Proč je FUNKCE JEA důležitá?
Vysoce privilegované účty používané ke správě serverů představují vážné bezpečnostní riziko. Pokud by útočník narušil některý z těchto účtů, mohl by spustit laterální útoky ve vaší organizaci. Každý napadený účet poskytuje útočníkovi přístup k ještě více účtům a prostředkům a jeden krok blíž k krádeži tajných kódů společnosti, spuštění útoku na dostupnost služby a další.
Oprávnění správce není vždy snadné odebrat ani. Představte si běžný scénář, ve kterém je role DNS nainstalovaná na stejném počítači jako váš řadič Doména služby Active Directory. Správci DNS vyžadují oprávnění místního správce k opravě problémů se serverem DNS. Pokud to ale chcete udělat, musíte je nastavit jako členy vysoce privilegované skupiny zabezpečení Domain Správa s. Tento přístup efektivně poskytuje dns Správa istrátory kontrolu nad celou vaší doménou a přístupem ke všem prostředkům na tomto počítači.
JEA tento problém řeší principem nejnižšího oprávnění. Pomocí FUNKCE JEA můžete nakonfigurovat koncový bod správy pro správce DNS, který jim dává přístup jenom k příkazům PowerShellu, které potřebují k dokončení své úlohy. To znamená, že můžete poskytnout odpovídající přístup k opravě otrávené mezipaměti DNS nebo restartování serveru DNS, aniž byste jim neúmyslně udělili práva ke službě Active Directory, nebo procházet systém souborů nebo spouštět potenciálně nebezpečné skripty. Ještě lepší je, že když je relace JEA nakonfigurovaná tak, aby používala dočasné privilegované virtuální účty, můžou se správci DNS připojit k serveru pomocí přihlašovacích údajů bez oprávnění správce a pořád spouštět příkazy, které obvykle vyžadují oprávnění správce. FUNKCE JEA umožňuje odebrat uživatele z často privilegovaných rolí místního správce nebo správce domény a pečlivě řídit, co můžou dělat na každém počítači.
Další kroky
Další informace o požadavcích na použití FUNKCE JEA najdete v článku Požadavky .
Ukázky a prostředek DSC
Ukázkové konfigurace JEA a prostředek JEA DSC najdete v úložišti JEA Na GitHubu.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro