Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Just Enough Administration (JEA) es una tecnología de seguridad que permite la administración delegada de todo lo que administra PowerShell. Con JEA, se puede hacer lo siguiente:
- Reduzca el número de administradores de las máquinas que usan cuentas virtuales o cuentas de servicio administradas por grupos para realizar acciones con privilegios en nombre de los usuarios normales.
- Limite lo que los usuarios pueden hacer especificando qué cmdlets, funciones y comandos externos pueden ejecutar.
- Comprenda mejor lo que hacen los usuarios con transcripciones y registros que muestran exactamente qué comandos ejecutó un usuario durante su sesión.
¿Por qué es importante JEA?
Las cuentas con muchos privilegios usadas para administrar los servidores suponen un grave riesgo de seguridad. Si un atacante pone en peligro una de estas cuentas, podría iniciar ataques laterales en toda la organización. Cada cuenta en peligro proporciona a un atacante acceso a aún más cuentas y recursos, y les pone un paso más cerca de robar secretos de la empresa, iniciar un ataque por denegación de servicio, etc.
No siempre es fácil quitar privilegios administrativos. Considere el escenario común en el que el rol DNS está instalado en la misma máquina que el controlador de dominio de Active Directory. Los administradores de DNS necesitan privilegios de administrador local para solucionar problemas con el servidor DNS. Pero para ello, debe convertirlos en miembros del grupo de seguridad Administradores de dominio con privilegios elevados. Este enfoque proporciona de forma eficaz a los administradores de DNS control sobre todo el dominio y acceso a todos los recursos de esa máquina.
JEA soluciona este problema a través del principio de privilegios mínimos. Con JEA, puede configurar un punto de conexión de administración para los administradores de DNS que les proporcione acceso solo a los comandos de PowerShell que necesitan para realizar su trabajo. Esto significa que puede proporcionar el acceso adecuado para reparar una caché DNS dañada o reiniciar el servidor DNS sin concederles involuntariamente derechos en Active Directory, para examinar el sistema de archivos o para ejecutar scripts potencialmente peligrosos. Mejor aún, cuando la sesión de JEA está configurada para usar cuentas virtuales con privilegios temporales, los administradores de DNS pueden conectarse al servidor mediante credenciales que no son de administrador y seguir ejecutando comandos que normalmente requieren privilegios de administrador. JEA le permite quitar usuarios de roles de administrador local o de dominio con privilegios amplios y controlar cuidadosamente lo que pueden hacer en cada máquina.
Pasos siguientes
Para más información sobre los requisitos para usar JEA, consulte el artículo Requisitos previos .
Ejemplos y recursos de DSC
Las configuraciones de JEA de ejemplo y el recurso de DSC de JEA se pueden encontrar en el repositorio de GitHub de JEA.
Colaborar con nosotros en GitHub
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
