Just Enough Administration
Just Enough Beheer istration (JEA) is een beveiligingstechnologie die gedelegeerd beheer mogelijk maakt voor alles wat wordt beheerd door PowerShell. Met JEA kunt u het volgende doen:
- Verminder het aantal beheerders op uw machines met behulp van virtuele accounts of door groepen beheerde serviceaccounts om bevoegde acties uit te voeren namens gewone gebruikers.
- Beperk wat gebruikers kunnen doen door op te geven welke cmdlets, functies en externe opdrachten ze kunnen uitvoeren.
- Beter inzicht krijgen in wat uw gebruikers doen met transcripties en logboeken die u precies laten zien welke opdrachten een gebruiker tijdens de sessie heeft uitgevoerd.
Waarom is JEA belangrijk?
Accounts met hoge bevoegdheden die worden gebruikt om uw servers te beheren, vormen een ernstig beveiligingsrisico. Als een aanvaller inbreuk kan maken op een van deze accounts, kunnen ze laterale aanvallen binnen uw organisatie starten. Elk gecompromitteerd account biedt een aanvaller toegang tot nog meer accounts en resources, en zet ze één stap dichter bij het stelen van bedrijfsgeheimen, het starten van een denial-of-service-aanval en meer.
Het is ook niet altijd eenvoudig om beheerdersbevoegdheden te verwijderen. Houd rekening met het veelvoorkomende scenario waarin de DNS-rol is geïnstalleerd op dezelfde computer als uw Active Directory-domein Controller. Uw DNS-beheerders hebben lokale beheerdersbevoegdheden nodig om problemen met de DNS-server op te lossen. Maar hiervoor moet u ervoor zorgen dat ze lid zijn van de beveiligingsgroep met hoge bevoegdheden van het domein Beheer s. Deze aanpak geeft DNS-Beheer istrators effectief controle over uw hele domein en toegang tot alle resources op die computer.
JEA lost dit probleem op met behulp van het principe van Minimale bevoegdheden. Met JEA kunt u een beheereindpunt configureren voor DNS-beheerders die hen alleen toegang geven tot de PowerShell-opdrachten die ze nodig hebben om hun werk te doen. Dit betekent dat u de juiste toegang kunt bieden om een vergiftigde DNS-cache te herstellen of de DNS-server opnieuw op te starten zonder ze onbedoeld rechten te geven voor Active Directory, of om door het bestandssysteem te bladeren of mogelijk gevaarlijke scripts uit te voeren. Nog beter, wanneer de JEA-sessie is geconfigureerd voor het gebruik van tijdelijke virtuele accounts met bevoegdheden, kunnen uw DNS-beheerders verbinding maken met de server met behulp van niet-beheerdersreferenties en nog steeds opdrachten uitvoeren waarvoor doorgaans beheerdersbevoegdheden zijn vereist. MET JEA kunt u gebruikers verwijderen uit algemeen bevoegde lokale/domeinbeheerdersrollen en zorgvuldig bepalen wat ze op elke computer kunnen doen.
Volgende stappen
Zie het artikel Vereisten voor meer informatie over de vereisten voor het gebruik van JEA.
Voorbeelden en DSC-resource
Voorbeelden van JEA-configuraties en de JEA DSC-resource vindt u in de JEA GitHub-opslagplaats.