Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O JEA (Administração Suficiente) é uma tecnologia de segurança que permite a administração delegada para itens que possam ser gerenciados com o PowerShell. Com o JEA, você pode:
- Reduza o número de administradores em suas máquinas usando contas virtuais ou contas de serviço gerenciadas por grupo para executar ações privilegiadas em nome de usuários regulares.
- Limite o que os usuários podem fazer especificando quais cmdlets, funções e comandos externos podem ser executados.
- Entenda melhor o que seus usuários estão fazendo com transcrições e logs que mostram exatamente quais comandos um usuário executou durante a sessão.
Por que o JEA é importante?
Contas altamente privilegiadas, usadas para administrar os servidores, representam um sério risco de segurança. Se um invasor comprometer uma dessas contas, ele poderá iniciar ataques laterais em toda a sua organização. Cada conta comprometida dá a um invasor acesso a ainda mais contas e recursos e coloca-os um passo mais perto de roubar segredos da empresa, iniciar um ataque de negação de serviço e muito mais.
No entanto, nem sempre é fácil remover privilégios administrativos. Considere o cenário comum em que a função DNS está instalada no mesmo computador que o Controlador de Domínio do Active Directory. Os administradores do DNS exigem privilégios de administrador local para corrigir problemas com o servidor DNS. Mas, para fazer isso, você deve torná-los membros do grupo de segurança de administradores de domínio altamente privilegiado. Essa abordagem efetivamente fornece aos Administradores DNS controle sobre todo o seu domínio e acesso a todos os recursos nesse computador.
A JEA resolve esse problema por meio do princípio do Privilégio Mínimo. Com o JEA, você pode configurar um ponto de extremidade de gerenciamento para administradores do DNS que fornece a eles acesso somente os comandos do PowerShell de que precisam para realizar seus trabalhos. Isso significa que você pode fornecer o acesso apropriado para reparar um cache DNS inviabilizado ou reiniciar o servidor DNS, sem acidentalmente conceder a eles direitos ao Active Directory, para navegar no sistema de arquivos ou para executar scripts potencialmente perigosos. Melhor ainda, quando a sessão JEA é configurada para usar contas virtuais com privilégios temporários, os administradores DNS podem se conectar ao servidor usando credenciais de não administrador e ainda executar comandos que normalmente exigem privilégios de administrador. O JEA permite que você remova os usuários de funções de administrador local/de domínio amplamente privilegiadas e controle cuidadosamente o que eles podem fazer em cada computador.
Próximas etapas
Para saber mais sobre os requisitos para usar o JEA, consulte o artigo Pré-requisitos .
Exemplos e recurso DSC
Configurações de exemplo do JEA e o recurso JEA DSC podem ser encontrados no repositório JEA GitHub.
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
