Поделиться через


Администрирование по принципу «необходимого минимума»

Just Enough Administration (JEA) — это технология безопасности, позволяющая делегировать администрирование в отношении всего, чем можно управлять через PowerShell. JEA позволяет сделать следующее:

  • Вы можете уменьшить число администраторов на компьютерах, используя виртуальные учетные записи или групповые управляемые учетные записи службы, которые допускают выполнение привилегированных действий от имени обычных пользователей.
  • Ограничить доступные пользователям действия, указав, какие командлеты, функции и внешние команды могут выполнять пользователи.
  • Лучше понять, что делают ваши пользователи, с помощью детализированных записей и журналов, показывающих выполняемые пользователями команды во время сеанса.

Почему важна JEA?

Высокопривилегированные учетные записи, используемые для администрирования серверов, представляют серьезную угрозу для безопасности. Если злоумышленнику удастся скомпрометировать одну из таких учетных записей, он сможет осуществлять распределенные атаки по всей организации. Каждая скомпрометированная учетная запись предоставляет ему доступ к другим учетным записям и ресурсам, повышая вероятность кражи конфиденциальной корпоративной информации, проведения атаки типа "отказ в обслуживании" и других нежелательных операций.

Однако удаление прав администратора реализовать не всегда просто. Рассмотрим распространенный сценарий, когда роль DNS установлена на том же компьютере, что и контроллер домена Active Directory. Администраторам DNS требуются права локального администратора для устранения проблем с DNS-сервером. Для этого вы должны сделать их членами группы безопасности "Администраторы домена" с высоким уровнем привилегий. При этом они получат контроль над всем доменом и доступ ко всем ресурсам на соответствующем компьютере.

JEA решает эту проблему, придерживаясь принципа наименьших прав доступа. При наличии JEA вы можете настроить для администраторов DNS конечную точку управления, предоставляющую им доступ только к командам PowerShell, которые нужны им для работы. Это означает, что вы можете предоставить соответствующие права доступа для восстановления поврежденного кэша DNS или перезапуска DNS-сервера без случайного предоставления прав доступа к Active Directory, на просмотр файловой системы или на запуск потенциально опасных сценариев. Более того, если в сеансе JEA настроено использование временных привилегированных виртуальных учетных записей, ваши администраторы DNS смогут подключаться к серверу с помощью учетных данных без административных полномочий и при этом выполнять команды, для которых обычно требуются права администратора. JEA позволяет удалить пользователей из ролей локальных администраторов и администраторов домена с обширными правами доступа, а также детально настроить операции, доступные им на каждом компьютере.

Следующие шаги

Дополнительные сведения о требованиях для использования JEA см. в статье Предварительные требования.

Примеры и ресурсы DSC

Примеры конфигураций JEA и ресурсов JEA DSC см. в репозитории JEA в GitHub.