Explicar el concepto de Just Enough Administration (JEA).
Just Enough Administration (JEA) proporciona a Windows Server y los sistemas operativos cliente de Windows la funcionalidad RBAC integrada en la comunicación remota de Windows PowerShell. La comunica remota de Windows PowerShell tiene lugar cuando se inicia una sesión remota de Windows PowerShell en un equipo y las tareas se realizan en otro equipo.
Al configurar JEA, un usuario autorizado se conecta a un punto de conexión configurado especialmente y usa un conjunto específico de cmdlets, parámetros y valores de parámetros de Windows PowerShell. También puede configurar un punto de conexión de JEA para permitir que se ejecuten determinados scripts y comandos, siempre y cuando estos comandos se ejecuten desde una sesión de Windows PowerShell. Por ejemplo, puede configurar un punto de conexión de JEA para permitir que un usuario autorizado solo reinicie servicios específicos, como el servicio Sistema de nombres de dominio (DNS). El usuario no puede reiniciar ningún otro servicio ni realizar ninguna otra tarea en el sistema en el que está configurado el punto de conexión. También puede configurar un punto de conexión de JEA para permitir que un usuario autorizado ejecute un comando, como whoami.exe, para determinar qué cuenta se usa con la sesión.
Cuando se conecta al punto de conexión, JEA usa una cuenta virtual especial con privilegios en lugar de la cuenta del usuario para realizar tareas. Las ventajas de este enfoque son:
Las credenciales del usuario no se almacenan en el sistema remoto. Si el sistema remoto está en riesgo, las credenciales del usuario no están sujetas al robo de credenciales y no se pueden usar para atravesar la red y conseguir acceso a otros hosts.
La cuenta de usuario que se usa para conectarse al punto de conexión no necesita tener privilegios. Solo tiene que configurar el punto de conexión para permitir conexiones desde cuentas de usuario especificadas.
La cuenta virtual se limita al sistema en el que se hospeda. La cuenta virtual no se puede usar para conectarse a sistemas remotos. Esto significa que los atacantes no pueden usar una cuenta virtual en riesgo para acceder a otros servidores protegidos.
La cuenta virtual tiene privilegios de administrador local, pero está limitada a realizar solo las actividades definidas por JEA. Puede configurar la cuenta virtual con pertenencia a un grupo que no sea el grupo de administradores local para reducir aún más los privilegios.
Limitaciones de JEA
La configuración de JEA puede ser un proceso complicado. La persona que configura las funcionalidades de rol de JEA debe comprender qué cmdlets, parámetros, alias y valores necesitan para realizar tareas administrativas. Por lo tanto, JEA es más adecuado para tareas de configuración rutinarias, como reiniciar un servicio o implementar un contenedor o una máquina virtual (VM).
JEA no es adecuado para tareas en las que el problema y la solución no están claramente definidos y, por lo tanto, no sabe qué herramientas podría necesitar para resolver el problema. Si no sabe qué herramientas se necesitan, no puede configurar JEA con las herramientas necesarias.
Además, JEA solo funciona con sesiones de Windows PowerShell. Aunque puede configurar scripts y comandos ejecutables para que estén disponibles en una sesión de JEA, JEA requiere que las tareas administrativas se realicen desde la línea de comandos de Windows PowerShell. Esto no será fácil para el personal, quien usa principalmente herramientas de interfaz gráfica de usuario (GUI).
JEA funciona directamente en los siguientes sistemas operativos:
Windows Server 2016 o posterior
Windows 10 o posterior