Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Just Enough Administration (JEA) egy biztonsági technológia, amely lehetővé teszi a Delegált felügyeletet a PowerShell által kezelt mindenhez. A JEA-val a következőt teheti:
- Csökkentse a rendszergazdák számát a gépeken virtuális fiókokat vagy csoportosan felügyelt szolgáltatásfiókokat használó rendszergazdák számának csökkentése a rendszeres felhasználók nevében végzett kiemelt műveletek végrehajtásához.
- A felhasználók által elvégezhető műveletek korlátozásához adja meg, hogy mely parancsmagokat, függvényeket és külső parancsokat futtathatják.
- Jobban megértheti, hogy a felhasználók mit csinálnak az átiratokkal és a naplókkal, amelyek pontosan mutatják, hogy a felhasználó mely parancsokat hajtotta végre a munkamenet során.
Miért fontos a JEA?
A kiszolgálók felügyeletéhez használt magas jogosultsági szintű fiókok komoly biztonsági kockázatot jelentenek. Ha egy támadó feltöri valamelyik fiókot, oldalirányú támadásokat indíthat a szervezeten belül. Minden feltört fiók még több fiókhoz és erőforráshoz biztosít hozzáférést a támadóknak, és egy lépéssel közelebb helyezi őket a vállalati titkos kódok ellopásához, a szolgáltatásmegtagadásos támadás elindításához és sok máshoz.
A rendszergazdai jogosultságokat sem mindig könnyű eltávolítani. Fontolja meg azt a gyakori esetet, amikor a DNS-szerepkör ugyanazon a gépen van telepítve, mint az Active Directory tartományvezérlő. A DNS-rendszergazdáknak helyi rendszergazdai jogosultságokra van szükségük a DNS-kiszolgálóval kapcsolatos problémák megoldásához. Ehhez azonban a kiemelt tartománygazdák biztonsági csoportjának tagjaivá kell tenni őket. Ezzel a módszerrel a DNS-rendszergazdák hatékonyan szabályozhatják a teljes tartományt, és hozzáférhetnek a gép összes erőforrásához.
A JEA ezt a problémát a Minimális jogosultság elvével oldja meg. A JEA használatával konfigurálhat egy felügyeleti végpontot a DNS-rendszergazdák számára, amely csak a munkájuk elvégzéséhez szükséges PowerShell-parancsokhoz biztosít hozzáférést. Ez azt jelenti, hogy biztosíthatja a megfelelő hozzáférést a mérgezett DNS-gyorsítótár javításához vagy a DNS-kiszolgáló újraindításához anélkül, hogy véletlenül jogosultságot adna nekik az Active Directoryhoz, vagy tallózhat a fájlrendszerben, vagy potenciálisan veszélyes szkripteket futtathat. Még jobb, ha a JEA-munkamenet úgy van konfigurálva, hogy ideiglenes kiemelt virtuális fiókokat használjon, a DNS-rendszergazdák nem rendszergazdai hitelesítő adatokkal csatlakozhatnak a kiszolgálóhoz, és továbbra is futtathatnak olyan parancsokat, amelyek általában rendszergazdai jogosultságokat igényelnek. A JEA lehetővé teszi, hogy eltávolítsa a felhasználókat a széles körben kiemelt helyi/tartományi rendszergazdai szerepkörökből, és gondosan szabályozza, hogy mit tehetnek az egyes gépeken.
Következő lépések
A JEA használatára vonatkozó követelményekkel kapcsolatos további információkért tekintse meg az előfeltételekről szóló cikket.
Minták és DSC-erőforrás
A JEA-konfigurációk mintája és a JEA DSC-erőforrás a JEA GitHub-adattárban található.
Dolgozzon együtt velünk a GitHubon
A tartalom forrása a GitHubon található, ahol létrehozhat és áttekinthet problémákat és lekéréses kérelmeket is. További információért tekintse meg a közreműködői útmutatónkat.
