Just Enough Administration (JEA)Just Enough Administration

Just Enough Administration (JEA) es una tecnología de seguridad que permite la administración delegada de todo lo que administra PowerShell.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything managed by PowerShell. Con JEA, se puede hacer lo siguiente:With JEA, you can:

  • Reducir el número de administradores de las máquinas mediante cuentas virtuales o cuentas de servicio administradas por grupos para realizar acciones con privilegios en nombre de usuarios normales.Reduce the number of administrators on your machines using virtual accounts or group-managed service accounts to perform privileged actions on behalf of regular users.
  • Limitar lo que pueden hacer los usuarios especificando qué cmdlets, funciones y comandos externos pueden ejecutar.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Entender mejor lo que hacen los usuarios con transcripciones y registros que muestran exactamente qué comandos ha ejecutado un usuario durante su sesión.Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

¿Por qué es importante JEA?Why is JEA important?

Las cuentas con muchos privilegios usadas para administrar los servidores suponen un grave riesgo de seguridad.Highly privileged accounts used to administer your servers pose a serious security risk. Si un atacante compromete una de estas cuentas, podría iniciar ataques laterales en toda la organización.Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. Cada cuenta comprometida puede dar a un atacante acceso incluso a más cuentas y recursos, y ponerle un paso más cerca de robar secretos de la empresa, iniciar un ataque por denegación de servicio y mucho más.Each compromised account gives an attacker access to even more accounts and resources, and puts them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

No siempre es fácil quitar privilegios administrativos.It's not always easy to remove administrative privileges, either. Tenga en cuenta el escenario común en que el rol DNS está instalado en el mismo equipo que el controlador de dominio de Active Directory.Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. Los administradores de DNS necesitan privilegios de administrador local para solucionar problemas con el servidor DNS.Your DNS administrators require local administrator privileges to fix issues with the DNS server. Pero para ello, debe convertirlos en miembros del grupo de seguridad con privilegios elevados Admins. del dominio .But to do so, you must make them members of the highly privileged Domain Admins security group. Este enfoque proporciona a los administradores de DNS el control sobre todo el dominio y les permite acceder a todos los recursos de la máquina.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

JEA resuelve este problema a través del principio de privilegios mínimos .JEA addresses this problem through the principle of Least Privilege . Con JEA, puede configurar un punto de conexión de administración para los administradores de DNS que les proporcione acceso solo a los comandos de PowerShell que necesitan para realizar su trabajo.With JEA, you can configure a management endpoint for DNS administrators that gives them access only to the PowerShell commands they need to get their job done. Esto significa que puede proporcionar el acceso adecuado para reparar una caché DNS dañada o reiniciar el servidor DNS sin concederles involuntariamente derechos en Active Directory, para examinar el sistema de archivos o para ejecutar scripts potencialmente peligrosos.This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. Y lo que es mejor, cuando la sesión de JEA está configurada para usar cuentas virtuales con privilegios temporales, los administradores de DNS pueden conectarse al servidor mediante credenciales que no sean de administrador y seguir ejecutando comandos que normalmente requieren privilegios de administrador.Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still run commands that typically require admin privileges. JEA permite quitar usuarios de roles de administrador local o de dominio con muchos privilegios, y controlar cuidadosamente qué pueden hacer en cada equipo.JEA enables you to remove users from widely privileged local/domain administrator roles and carefully control what they can do on each machine.

Pasos siguientesNext steps

Para obtener más información sobre los requisitos para usar JEA, vea el artículo de requisitos previos.To learn more about the requirements to use JEA, see the Prerequisites article.

Ejemplos y recurso de DSCSamples and DSC resource

En el repositorio de GitHub de JEA puede encontrar configuraciones de JEA de ejemplo y el recurso de DSC de JEA.Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.