Megosztás a következőn keresztül:

Just Enough Administration

  • Cikk

A Just Enough Rendszergazda istration (JEA) egy olyan biztonsági technológia, amely lehetővé teszi a PowerShell által kezelt bármi delegált felügyeletét. A JEA-val a következőt teheti:

  • Csökkentse a rendszergazdák számát a gépeken virtuális fiókokat vagy csoportosan felügyelt szolgáltatásfiókokat használó rendszergazdák számának csökkentése a rendszeres felhasználók nevében végzett kiemelt műveletek végrehajtásához.
  • A felhasználók által elvégezhető műveletek korlátozásához adja meg, hogy mely parancsmagokat, függvényeket és külső parancsokat futtathatják.
  • Jobban megértheti, hogy a felhasználók mit csinálnak az átiratokkal és a naplókkal, amelyek pontosan mutatják, hogy a felhasználó mely parancsokat hajtotta végre a munkamenet során.

Miért fontos a JEA?

A kiszolgálók felügyeletéhez használt magas jogosultsági szintű fiókok komoly biztonsági kockázatot jelentenek. Ha egy támadó feltöri valamelyik fiókot, oldalirányú támadásokat indíthat a szervezeten belül. Minden feltört fiók még több fiókhoz és erőforráshoz biztosít hozzáférést a támadóknak, és egy lépéssel közelebb helyezi őket a vállalati titkos kódok ellopásához, a szolgáltatásmegtagadásos támadás elindításához és sok máshoz.

A rendszergazdai jogosultságokat sem mindig könnyű eltávolítani. Fontolja meg azt a gyakori esetet, amikor a DNS-szerepkör ugyanazon a gépen van telepítve, mint a Active Directory-tartomány-vezérlő. A DNS-rendszergazdáknak helyi rendszergazdai jogosultságokra van szükségük a DNS-kiszolgálóval kapcsolatos problémák megoldásához. Ehhez azonban a kiemelt tartományi Rendszergazda biztonsági csoport tagjaivá kell tenni őket. Ez a megközelítés hatékonyan biztosítja a DNS-Rendszergazda istratorok számára a teljes tartomány irányítását, és hozzáférést biztosít a gép összes erőforrásához.

A JEA ezt a problémát a Minimális jogosultság elvével oldja meg. A JEA használatával konfigurálhat egy felügyeleti végpontot a DNS-rendszergazdák számára, amely csak a munkájuk elvégzéséhez szükséges PowerShell-parancsokhoz biztosít hozzáférést. Ez azt jelenti, hogy biztosíthatja a megfelelő hozzáférést a mérgezett DNS-gyorsítótár javításához vagy a DNS-kiszolgáló újraindításához anélkül, hogy véletlenül jogosultságot adna nekik az Active Directoryhoz, vagy tallózhat a fájlrendszerben, vagy potenciálisan veszélyes szkripteket futtathat. Még jobb, ha a JEA-munkamenet úgy van konfigurálva, hogy ideiglenes kiemelt virtuális fiókokat használjon, a DNS-rendszergazdák nem rendszergazdai hitelesítő adatokkal csatlakozhatnak a kiszolgálóhoz, és továbbra is futtathatnak olyan parancsokat, amelyek általában rendszergazdai jogosultságokat igényelnek. A JEA lehetővé teszi, hogy eltávolítsa a felhasználókat a széles körben kiemelt helyi/tartományi rendszergazdai szerepkörökből, és gondosan szabályozza, hogy mit tehetnek az egyes gépeken.

Következő lépések

A JEA használatára vonatkozó követelményekkel kapcsolatos további információkért tekintse meg az előfeltételekről szóló cikket.

Minták és DSC-erőforrás

A JEA-konfigurációk mintája és a JEA DSC-erőforrás a JEA GitHub-adattárban található.