Administrasi Just Enough

Just Enough Administration (JEA) adalah teknologi keamanan yang memungkinkan pendelegasian administrasi untuk apa pun yang dikelola oleh PowerShell. Dengan JEA, Anda dapat:

  • Kurangi jumlah administrator di komputer Anda menggunakan akun virtual atau akun layanan yang dikelola grup untuk melakukan tindakan istimewa atas nama pengguna reguler.
  • Batasi apa yang dapat dilakukan pengguna dengan menentukan cmdlet, fungsi, dan perintah eksternal mana yang dapat mereka jalankan.
  • Lebih memahami apa yang dilakukan pengguna Anda dengan transkrip dan log yang menunjukkan dengan tepat perintah mana yang dijalankan pengguna selama sesi mereka.

Mengapa JEA penting?

Akun yang sangat istimewa yang digunakan untuk mengelola server Anda menimbulkan risiko keamanan yang serius. Jika penyerang membahayakan salah satu akun ini, mereka dapat meluncurkan serangan lateral di seluruh organisasi Anda. Setiap akun yang disusupi memberi penyerang akses ke lebih banyak akun dan sumber daya, dan menempatkan mereka selangkah lebih dekat untuk mencuri rahasia perusahaan, meluncurkan serangan penolakan layanan, dan banyak lagi.

Juga tidak selalu mudah untuk menghapus hak istimewa administratif. Pertimbangkan skenario umum di mana peran DNS diinstal pada komputer yang sama dengan Pengendali Domain Direktori Aktif Anda. Administrator DNS Anda memerlukan hak istimewa administrator lokal untuk memperbaiki masalah dengan server DNS. Tetapi untuk melakukannya, Anda harus menjadikan mereka anggota grup keamanan Admin Domain yang sangat istimewa. Pendekatan ini secara efektif memberi Administrator DNS kontrol atas seluruh domain Anda dan akses ke semua sumber daya di komputer tersebut.

JEA mengatasi masalah ini melalui prinsip Hak Istimewa Terkecil. Dengan JEA, Anda dapat mengonfigurasi titik akhir manajemen untuk administrator DNS yang memberi mereka akses hanya ke perintah PowerShell yang mereka butuhkan untuk menyelesaikan pekerjaan mereka. Ini berarti Anda dapat memberikan akses yang sesuai untuk memperbaiki cache DNS beracun atau menghidupkan ulang server DNS tanpa sengaja memberi mereka hak ke Direktori Aktif, atau untuk menelusuri sistem file, atau menjalankan skrip yang berpotensi berbahaya. Lebih baik lagi, ketika sesi JEA dikonfigurasi untuk menggunakan akun virtual dengan hak istimewa sementara, administrator DNS Anda dapat terhubung ke server menggunakan kredensial non-admin dan masih menjalankan perintah yang biasanya memerlukan hak istimewa admin. JEA memungkinkan Anda menghapus pengguna dari peran administrator lokal/domain yang sangat istimewa dan dengan hati-hati mengontrol apa yang dapat mereka lakukan di setiap komputer.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang persyaratan untuk menggunakan JEA, lihat artikel Prasyarat .

Sampel dan sumber daya DSC

Contoh konfigurasi JEA dan sumber daya JEA DSC dapat ditemukan di repositori JEA GitHub.