JEA (Just Enough Administration)
Just Enough Administration (JEA) är en säkerhetsteknik som möjliggör delegerad administration för allt som hanteras av PowerShell. Med JEA kan du:
- Minska antalet administratörer på dina datorer med hjälp av virtuella konton eller grupphanterade tjänstkonton för att utföra privilegierade åtgärder för vanliga användare.
- Begränsa vad användarna kan göra genom att ange vilka cmdletar, funktioner och externa kommandon de kan köra.
- Bättre förstå vad användarna gör med avskrifter och loggar som visar exakt vilka kommandon en användare körde under sessionen.
Varför är JEA viktigt?
Konton med hög behörighet som används för att administrera dina servrar utgör en allvarlig säkerhetsrisk. Om en angripare komprometterar ett av dessa konton kan de starta laterala attacker i hela organisationen. Varje komprometterat konto ger en angripare åtkomst till ännu fler konton och resurser och placerar dem ett steg närmare att stjäla företagshemligheter, starta en överbelastningsattack med mera.
Det är inte alltid lätt att ta bort administrativa privilegier heller. Tänk dig det vanliga scenariot där DNS-rollen är installerad på samma dator som din Active Directory-domän Controller. DNS-administratörerna kräver lokal administratörsbehörighet för att åtgärda problem med DNS-servern. Men för att göra det måste du göra dem till medlemmar i säkerhetsgruppen domänadministratörer med hög behörighet. Den här metoden ger effektivt DNS-administratörer kontroll över hela domänen och åtkomst till alla resurser på datorn.
JEA löser det här problemet genom principen minsta behörighet. Med JEA kan du konfigurera en hanteringsslutpunkt för DNS-administratörer som endast ger dem åtkomst till de PowerShell-kommandon som de behöver för att få jobbet gjort. Det innebär att du kan ge rätt åtkomst för att reparera en förgiftad DNS-cache eller starta om DNS-servern utan att oavsiktligt ge dem behörighet till Active Directory, bläddra i filsystemet eller köra potentiellt farliga skript. Ännu bättre är att när JEA-sessionen har konfigurerats för att använda tillfälliga privilegierade virtuella konton kan DNS-administratörerna ansluta till servern med icke-administratörsautentiseringsuppgifter och fortfarande köra kommandon som vanligtvis kräver administratörsbehörighet. MED JEA kan du ta bort användare från administratörsroller för lokalt/domän med stor behörighet och noggrant kontrollera vad de kan göra på varje dator.
Nästa steg
Mer information om kraven för att använda JEA finns i artikeln Krav .
Exempel och DSC-resurs
Exempel på JEA-konfigurationer och JEA DSC-resursen finns på JEA GitHub-lagringsplatsen.