Administrasi Just Enough
Just Enough Administration (JEA) adalah teknologi keamanan yang memungkinkan administrasi ditetapkan untuk segala sesuatu yang dikelola oleh PowerShell. Dengan JEA, Anda dapat:
- Kurangi jumlah administrator di komputer Anda menggunakan akun virtual atau akun layanan yang dikelola grup untuk melakukan tindakan istimewa atas nama pengguna reguler.
- Batasi apa yang dapat dilakukan pengguna dengan menentukan cmdlet, fungsi, dan perintah eksternal mana yang dapat mereka jalankan.
- Lebih memahami apa yang dilakukan pengguna Anda dengan transkrip dan log yang menunjukkan kepada Anda perintah mana yang dijalankan pengguna selama sesi mereka.
Mengapa JEA penting?
Akun yang sangat istimewa yang digunakan untuk mengelola server Anda menimbulkan risiko keamanan yang serius. Jika penyerang membahayakan salah satu akun ini, mereka dapat meluncurkan serangan lateral di seluruh organisasi Anda. Setiap akun yang disusupi memberi penyerang akses ke lebih banyak akun dan sumber daya, dan menempatkan mereka satu langkah lebih dekat untuk mencuri rahasia perusahaan, meluncurkan serangan penolakan layanan, dan banyak lagi.
Juga, tidak selalu mudah untuk menghapus hak istimewa administratif. Pertimbangkan skenario umum di mana peran DNS diinstal pada komputer yang sama dengan Pengendali Domain Direktori Aktif Anda. Administrator DNS Anda memerlukan hak istimewa administrator lokal untuk memperbaiki masalah dengan server DNS. Tetapi untuk melakukannya, Anda harus menjadikan mereka anggota grup keamanan Admin Domain yang sangat istimewa. Pendekatan ini secara efektif memberi Administrator DNS kontrol atas seluruh domain Anda dan akses ke semua sumber daya di komputer tersebut.
JEA mengatasi masalah ini melalui prinsip Hak Istimewa Terkecil. Dengan JEA, Anda dapat mengonfigurasi titik akhir manajemen untuk administrator DNS yang memberi mereka akses hanya ke perintah PowerShell yang mereka butuhkan untuk menyelesaikan pekerjaan mereka. Ini berarti Anda dapat memberikan akses yang sesuai untuk memperbaiki cache DNS beracun atau menghidupkan ulang server DNS tanpa sengaja memberi mereka hak ke Active Directory, atau untuk menelusuri sistem file, atau menjalankan skrip yang berpotensi berbahaya. Lebih baik lagi, ketika sesi JEA dikonfigurasi untuk menggunakan akun virtual dengan hak istimewa sementara, administrator DNS Anda dapat terhubung ke server menggunakan kredensial non-admin dan masih menjalankan perintah yang biasanya memerlukan hak istimewa admin. JEA memungkinkan Anda menghapus pengguna dari peran administrator lokal/domain yang sangat istimewa dan dengan hati-hati mengontrol apa yang dapat mereka lakukan di setiap komputer.
Langkah berikutnya
Untuk mempelajari selengkapnya tentang persyaratan untuk menggunakan JEA, lihat artikel Prasyarat .
Sampel dan sumber daya DSC
Contoh konfigurasi JEA dan sumber daya JEA DSC dapat ditemukan di repositori GitHub JEA.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk