Narzędzia Just Enough Administration
Just Enough Administracja istration (JEA) to technologia zabezpieczeń, która umożliwia delegowanie administracji dla wszystkich elementów zarządzanych przez program PowerShell. Za pomocą narzędzia JEA można wykonywać następujące czynności:
- Zmniejsz liczbę administratorów na maszynach przy użyciu kont wirtualnych lub kont usług zarządzanych przez grupę, aby wykonywać akcje uprzywilejowane w imieniu zwykłych użytkowników.
- Ogranicz możliwości użytkowników, określając polecenia cmdlet, funkcje i polecenia zewnętrzne, które mogą uruchamiać.
- Lepiej zrozumieć, co użytkownicy robią z transkrypcjami i dziennikami, które pokazują dokładnie, które polecenia są wykonywane przez użytkownika podczas sesji.
Dlaczego jea jest ważne?
Wysoce uprzywilejowane konta używane do administrowania serwerami stanowią poważne zagrożenie bezpieczeństwa. Jeśli osoba atakująca naruszy jedną z tych kont, może uruchomić ataki boczne w całej organizacji. Każde z naruszonych kont zapewnia osobie atakującej dostęp do jeszcze większej liczby kont i zasobów i przybliża je o krok do kradzieży wpisów tajnych firmy, uruchamiania ataku typu "odmowa usługi" i nie tylko.
Nie zawsze łatwo jest usunąć uprawnienia administracyjne. Rozważmy typowy scenariusz, w którym rola DNS jest zainstalowana na tej samej maszynie co kontroler domena usługi Active Directory. Administratorzy DNS wymagają uprawnień administratora lokalnego, aby rozwiązać problemy z serwerem DNS. W tym celu należy jednak sprawić, aby członkowie grupy zabezpieczeń domeny o wysokim poziomie uprawnień Administracja. Takie podejście skutecznie zapewnia Administracja istratorom DNS kontrolę nad całą domeną i dostępem do wszystkich zasobów na tym komputerze.
JeA rozwiązuje ten problem za pomocą zasady najniższych uprawnień. Za pomocą narzędzia JEA można skonfigurować punkt końcowy zarządzania dla administratorów DNS, który zapewnia im dostęp tylko do poleceń programu PowerShell, które muszą wykonać swoje zadanie. Oznacza to, że można zapewnić odpowiedni dostęp do naprawy zatrutej pamięci podręcznej DNS lub ponownego uruchomienia serwera DNS bez przypadkowego udzielenia im praw do usługi Active Directory lub przeglądania systemu plików lub uruchamiania potencjalnie niebezpiecznych skryptów. Jeszcze lepiej, gdy sesja JEA jest skonfigurowana do używania tymczasowych uprzywilejowanych kont wirtualnych, administratorzy DNS mogą łączyć się z serwerem przy użyciu poświadczeń innych niż administrator i nadal uruchamiać polecenia, które zwykle wymagają uprawnień administratora. JeA umożliwia usunięcie użytkowników z szeroko uprzywilejowanych ról administratora lokalnego/domeny i dokładne kontrolowanie tego, co mogą robić na każdej maszynie.
Następne kroki
Aby dowiedzieć się więcej o wymaganiach dotyczących używania serwera JEA, zobacz artykuł Wymagania wstępne .
Przykłady i zasób DSC
Przykładowe konfiguracje jea i zasób JEA DSC można znaleźć w repozytorium JEA GitHub.