Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Just Enough Administration (JEA) est une technologie de sécurité qui permet une administration déléguée de tout ce qui est géré avec PowerShell. Avec JEA, vous pouvez :
- Réduisez le nombre d’administrateurs sur vos machines à l’aide de comptes virtuels ou de comptes de service gérés par un groupe pour effectuer des actions privilégiées pour le compte d’utilisateurs réguliers.
- Limitez ce que les utilisateurs peuvent faire en spécifiant les applets de commande, les fonctions et les commandes externes qu’ils peuvent exécuter.
- Mieux comprendre ce que font vos utilisateurs avec des transcriptions et des journaux qui vous montrent exactement quelles commandes un utilisateur a exécutées pendant sa session.
Pourquoi JEA est-il important ?
Les comptes à privilèges élevés utilisés pour administrer vos serveurs posent un important risque de sécurité. Si un attaquant compromet l’un de ces comptes, il peut lancer des attaques latérales au sein de votre organisation. Chaque compte compromis donne à un attaquant l’accès à encore plus de comptes et de ressources, et les met un peu plus près de voler les secrets de l’entreprise, de lancer une attaque par déni de service, et bien plus encore.
Il n’est pas non plus toujours facile de supprimer des privilèges d’administration. Considérez le scénario courant où le rôle DNS est installé sur la même machine que votre contrôleur de domaine Active Directory. Vos administrateurs DNS nécessitent des privilèges d’administrateur local pour résoudre les problèmes rencontrés avec le serveur DNS. Mais pour ce faire, vous devez les rendre membres du groupe de sécurité administrateurs de domaine hautement privilégié. Cette approche permet aux administrateurs DNS de contrôler votre domaine entier et d’accéder à toutes les ressources sur cet ordinateur.
JEA résout ce problème par le principe du privilège minimum. Avec JEA, vous pouvez configurer un point de terminaison de gestion pour les administrateurs DNS qui leur donne accès seulement aux commandes PowerShell dont ils ont besoin pour faire leur travail. Cela signifie que vous pouvez leur octroyer un accès approprié pour réparer un cache DNS empoisonné ou redémarrer le serveur DNS sans leur donner par inadvertance des droits sur Active Directory, parcourir le système de fichiers, ou exécuter des scripts potentiellement dangereux. Mieux encore, lorsque la session JEA est configurée pour utiliser des comptes virtuels privilégiés temporaires, vos administrateurs DNS peuvent se connecter au serveur à l’aide d’informations d’identification non-administrateur et exécuter des commandes qui nécessitent généralement des privilèges d’administrateur. JEA vous permet de supprimer les utilisateurs des rôles d’administrateur local/domaine largement privilégiés et de contrôler soigneusement ce qu’ils peuvent faire sur chaque ordinateur.
Étapes suivantes
Pour en savoir plus sur les conditions requises pour utiliser JEA, consultez l’article Conditions préalables .
Exemples et ressources DSC
Vous trouverez des exemples de configurations JEA et la ressource DSC JEA dans le référentiel GitHub JEA.
Collaborez avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner des problèmes et des demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
