Definición de las funcionalidades de rol de un punto de conexión de JEA
Los archivos de funcionalidad de rol le ayudan a especificar lo que se puede hacer en una sesión de Windows PowerShell. No se permite nada que no se permita explícitamente en un archivo de funcionalidad de rol o en un archivo de configuración de sesión.
Puede crear un archivo de funcionalidad de rol en blanco mediante el cmdlet New-PSRoleCapabilityFile. (Los archivos de funcionalidad de rol usan la extensión .psrc). Luego, puede editar el archivo de funcionalidad de rol y agregar los cmdlets, las funciones y los comandos externos que sean necesarios. Puede permitir funciones o cmdlets de Windows PowerShell completos, o puede enumerar qué parámetros y valores de parámetro se pueden usar.
Al crear un archivo de funcionalidad de rol, puede definir las siguientes limitaciones para la sesión de Windows PowerShell:
VisibleAliases. Este parámetro enumera los alias que deben estar disponibles en la sesión de JEA (Just Enough Administration).
VisibleCmdlets. Este parámetro muestra qué cmdlets de Windows PowerShell están disponibles en la sesión. Puede elegir enumerar cmdlets, lo que permite usar todos los parámetros y valores de parámetro, o limitar los cmdlets a parámetros y valores de parámetros concretos.
VisibleFunctions. Este parámetro muestra qué funciones de Windows PowerShell están disponibles en la sesión. De nuevo, puede optar por enumerar funciones, lo que permite usar todos los parámetros y valores de parámetro, o puede limitar las funciones a parámetros y valores de parámetros concretos.
VisibleExternalCommands. Este parámetro permite a los usuarios que están conectados a la sesión ejecutar comandos externos. Por ejemplo, puede usar este campo para permitir el acceso a c:\windows\system32\whoami.exe para que los usuarios conectados a la sesión de JEA puedan identificar su contexto de seguridad.
VisibleProviders. Esta configuración muestra los proveedores de Windows PowerShell que están visibles para la sesión.
También puede configurar otros parámetros, como los módulos que se van a importar, los ensamblados que se cargan y los tipos de datos que están disponibles. Para obtener una lista de todas las opciones al crear un archivo de funcionalidades de rol, vea New-PSRoleCapabilityFile.
¿Qué comandos debe permitir?
Es importante configurar correctamente los archivos de funcionalidad de rol. Si da a los usuarios muy pocas herramientas, no podrán realizar su trabajo. Si les da demasiadas herramientas, aumentará la superficie expuesta a ataques de la sesión de Windows PowerShell.
El uso del siguiente proceso puede ayudarle a decidir cómo configurar los archivos de funcionalidades de rol:
Trabaje con el equipo de TI y examine las herramientas y los procesos actuales para identificar qué comandos son necesarios.
Siempre que sea posible, pase de las herramientas de línea de comandos a los cmdlets de PowerShell.
Restrinja qué parámetros y valores de cmdlet se pueden usar a solo aquellos que son necesarios para realizar tareas específicas.
Evite el uso de comandos que permitan a los usuarios elevar sus permisos o que les permitan ejecutar código arbitrario.
Cree funciones personalizadas con lógica de validación para reemplazar comandos complejos.
Pruebe y supervise la lista de comandos permitidos a lo largo del tiempo y modifíquela según sea necesario.