Aracılığıyla paylaş


Yeterli Yönetim

Just Enough Yönetici istration (JEA), PowerShell tarafından yönetilen her şey için temsilcili yönetim sağlayan bir güvenlik teknolojisidir. JEA ile şunları yapabilirsiniz:

  • Normal kullanıcılar adına ayrıcalıklı eylemler gerçekleştirmek için sanal hesapları veya grup tarafından yönetilen hizmet hesaplarını kullanarak makinelerinizdeki yönetici sayısını azaltın.
  • Hangi cmdlet'leri, işlevleri ve dış komutları çalıştırabileceklerini belirterek kullanıcıların yapabileceklerini sınırlayın.
  • Kullanıcılarınızın oturum sırasında tam olarak hangi komutları çalıştırdığını gösteren transkriptler ve günlüklerle ne yaptığını daha iyi anlayın.

JEA neden önemlidir?

Sunucularınızı yönetmek için kullanılan yüksek ayrıcalıklı hesaplar ciddi bir güvenlik riski oluşturur. Bir saldırgan bu hesaplardan birinin güvenliğini tehlikeye atması durumunda kuruluşunuz genelinde yanal saldırılar başlatabilir. Güvenliği aşılmış her hesap, saldırgana daha fazla hesap ve kaynağa erişim sağlar ve bunları şirket gizli dizilerini çalmaya, hizmet reddi saldırısı başlatmaya ve daha fazlasına bir adım daha yaklaştırabilir.

Yönetim ayrıcalıklarını kaldırmak da her zaman kolay değildir. DNS rolünün Active Directory Etki Alanı Denetleyicinizle aynı makineye yüklendiği yaygın senaryoyu düşünün. DNS yöneticileriniz, DNS sunucusuyla ilgili sorunları düzeltmek için yerel yönetici ayrıcalıklarına ihtiyaç duyar. Ancak bunu yapmak için, onları yüksek ayrıcalıklı Etki Alanı Yönetici güvenlik grubunun üyesi yapmalısınız. Bu yaklaşım, DNS Yönetici istrator'lara etki alanınızın tamamı üzerinde etkili bir şekilde denetim sağlar ve bu makinedeki tüm kaynaklara erişim sağlar.

JEA bu sorunu En Az Ayrıcalık ilkesiyle giderir. JEA ile, DNS yöneticileri için yalnızca işlerini yapmak için ihtiyaç duydukları PowerShell komutlarına erişim sağlayan bir yönetim uç noktası yapılandırabilirsiniz. Başka bir deyişle, zehirli dns önbelleğini onarmak için uygun erişimi sağlayabilir veya dns sunucusunu yanlışlıkla Active Directory'ye hak vermeden yeniden başlatabilir veya dosya sistemine göz atabilir veya tehlikeli olabilecek betikler çalıştırabilirsiniz. Daha da iyisi, JEA oturumu geçici ayrıcalıklı sanal hesapları kullanacak şekilde yapılandırıldığında, DNS yöneticileriniz yönetici olmayan kimlik bilgilerini kullanarak sunucuya bağlanabilir ve genellikle yönetici ayrıcalıkları gerektiren komutları çalıştırmaya devam edebilir. JEA, kullanıcıları geniş ayrıcalıklı yerel/etki alanı yöneticisi rollerinden kaldırmanızı ve her makinede neler yapabileceklerini dikkatle denetlemenizi sağlar.

Sonraki adımlar

JEA'yı kullanma gereksinimleri hakkında daha fazla bilgi edinmek için Önkoşullar makalesine bakın.

Örnekler ve DSC kaynağı

Örnek JEA yapılandırmaları ve JEA DSC kaynağı JEA GitHub deposunda bulunabilir.