Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Just Enough Administration (JEA) è una tecnologia di protezione che consente l'amministrazione delegata per qualsiasi elemento gestito da PowerShell. Con JEA, è possibile:
- Ridurre il numero di amministratori nelle macchine usando account virtuali o account del servizio gestiti dal gruppo per eseguire azioni con privilegi per conto dei normali utenti.
- Limitare le operazioni che gli utenti possono eseguire specificando quali cmdlet, funzioni e comandi esterni possono eseguire.
- Comprendere meglio le operazioni eseguite dagli utenti con trascrizioni e log che mostrano esattamente i comandi eseguiti da un utente durante la sessione.
Perché JEA è importante?
Gli account con privilegi elevati usati per amministrare i server comporta un grave rischio nella sicurezza. Se un utente malintenzionato compromette uno di questi account, potrebbe lanciare attacchi laterali nell'organizzazione. Ogni account compromesso offre a un utente malintenzionato l'accesso ad altri account e risorse e li mette un passo più vicino al furto dei segreti aziendali, all'avvio di un attacco Denial of Service e altro ancora.
Tuttavia, non è sempre semplice rimuovere i privilegi amministrativi. Si consideri lo scenario comune in cui il ruolo DNS è installato nello stesso computer del controller di dominio Active Directory. Gli amministratori DNS richiedono privilegi di amministratore locale per risolvere i problemi con il server DNS. A tale scopo, tuttavia, è necessario renderli membri del gruppo di sicurezza Domain Admins con privilegi elevati. Questo approccio offre agli amministratori DNS il controllo sull'intero dominio e l'accesso a tutte le risorse in tale computer.
JEA risolve questo problema tramite il principio dei privilegi minimi. Con JEA è possibile configurare un endpoint di gestione per gli amministratori DNS che consenta l'accesso solo ai comandi PowerShell necessari per svolgere il lavoro. Ciò significa che è possibile definire accesso specifico per riparare una cache DNS danneggiata o riavviare il server DNS senza concedere inavvertitamente diritti per accedere ad Active Directory, sfogliare il file system o eseguire script potenzialmente pericolosi. Meglio ancora, quando la sessione JEA è configurata per l'uso di account virtuali con privilegi temporanei, gli amministratori DNS possono connettersi al server usando credenziali non amministrative ed eseguire comunque comandi che in genere richiedono privilegi di amministratore. JEA consente di rimuovere gli utenti dai ruoli di amministratore locale/di dominio con privilegi elevati e di controllare attentamente le operazioni che possono eseguire in ogni computer.
Passaggi successivi
Per altre informazioni sui requisiti per l'uso di JEA, vedere l'articolo Prerequisiti .
Esempi e risorsa DSC
Le configurazioni JEA di esempio e la risorsa DSC JEA sono disponibili nel repository GitHub JEA.
Collabora con noi su GitHub
L'origine di questo contenuto è disponibile in GitHub, in cui è anche possibile creare ed esaminare i problemi e le richieste pull. Per ulteriori informazioni, vedere la guida per i collaboratori.
