Precis tillräcklig administration

JEA (Just Enough Administration) är en säkerhetsteknik som möjliggör delegerad administration för allt som hanteras av PowerShell. Med JEA kan du:

  • Minska antalet administratörer på dina datorer med hjälp av virtuella konton eller grupphanterade tjänstkonton för att utföra privilegierade åtgärder för vanliga användares räkning.
  • Begränsa vad användarna kan göra genom att ange vilka cmdletar, funktioner och externa kommandon som de kan köra.
  • Bättre förstå vad användarna gör med avskrifter och loggar som visar exakt vilka kommandon en användare körde under sessionen.

Varför är JEA viktigt?

Konton med hög behörighet som används för att administrera dina servrar utgör en allvarlig säkerhetsrisk. Om en angripare komprometterar något av dessa konton kan de starta laterala attacker i hela organisationen. Varje komprometterat konto ger en angripare åtkomst till ännu fler konton och resurser och placerar dem ett steg närmare att stjäla företagshemligheter, starta en överbelastningsattack med mera.

Det är inte heller alltid lätt att ta bort administratörsbehörigheter. Tänk dig det vanliga scenariot där DNS-rollen är installerad på samma dator som din Active Directory-domän Controller. Dns-administratörerna kräver lokal administratörsbehörighet för att åtgärda problem med DNS-servern. Men för att göra det måste du göra dem till medlemmar i säkerhetsgruppen domänadministratörer med hög behörighet. Den här metoden ger effektivt DNS-administratörer kontroll över hela domänen och åtkomst till alla resurser på datorn.

JEA löser det här problemet genom principen om lägsta behörighet. Med JEA kan du konfigurera en hanteringsslutpunkt för DNS-administratörer som endast ger dem åtkomst till de PowerShell-kommandon som de behöver för att få jobbet gjort. Det innebär att du kan ge lämplig åtkomst för att reparera en förgiftad DNS-cache eller starta om DNS-servern utan att oavsiktligt ge dem rättigheter till Active Directory, bläddra i filsystemet eller köra potentiellt farliga skript. Ännu bättre är att när JEA-sessionen har konfigurerats för att använda tillfälliga privilegierade virtuella konton kan DNS-administratörerna ansluta till servern med icke-administratörsautentiseringsuppgifter och fortfarande köra kommandon som vanligtvis kräver administratörsbehörighet. Med JEA kan du ta bort användare från mycket privilegierade lokala administratörsroller/domänadministratörsroller och noggrant kontrollera vad de kan göra på varje dator.

Nästa steg

Mer information om kraven för att använda JEA finns i artikeln Förutsättningar .

Exempel och DSC-resurs

Jea-exempelkonfigurationer och JEA DSC-resursen finns på JEA GitHub-lagringsplatsen.