Just Enough AdministrationJust Enough Administration

Net genoeg Administration (JEA) is een technologie waarmee gedelegeerd beheer voor alles die kan worden beheerd met PowerShell.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything that can be managed with PowerShell. Met JEA, kunt u het volgende doen:With JEA, you can:

  • Verminder het aantal beheerders op de machines door gebruik van virtuele accounts of een groep beheerde serviceaccounts die bevoegde acties namens reguliere gebruikers uitvoeren.Reduce the number of administrators on your machines by leveraging virtual accounts or group managed service accounts that perform privileged actions on behalf of regular users.
  • Beperken wat gebruikers kunnen doen door te geven welke cmdlets, functies en externe opdrachten kunnen ze worden uitgevoerd.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Beter te begrijpen wat gebruikers doen met Logboeken en transcripties die ziet u precies die opdrachten uitgevoerd tijdens de sessie van een gebruiker.Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

Waarom is dit belangrijk?Why is this important?

Maximaal bevoorrechte accounts die worden gebruikt voor het beheren van uw servers vormen een ernstige beveiligingsrisico.Highly privileged accounts used to administer your servers pose a serious security risk. Een aanvaller moet inbreuk een van deze accounts, kan starten aanvallen op lateral in uw organisatie.Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. Elk account die ze inbreuk kunt krijgen ze zelfs meer accounts en -bronnen, zodat ze een stap dichter in bedrijf geheimen, het starten van een denial of service-aanval en meer stelen.Each account they compromise can give them access to even more accounts and resources, putting them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

Het is niet altijd eenvoudig beheerdersbevoegdheden, ofwel verwijderen.It is not always easy to remove administrative privileges, either. Houd rekening met het algemene scenario waarbij de DNS-serverfunctie is geïnstalleerd op dezelfde computer als uw Active Directory-domeincontroller.Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. Uw DNS-administrators nodig lokale beheerdersbevoegdheden herstellen van problemen met de DNS-server, maar hiervoor hoeft u zodat ze leden van de bijzondere rechten 'Domeinadministrators' beveiligingsgroep.Your DNS administrators require local administrator privileges to fix issues with the DNS server, but in order to do so you have to make them members of the highly privileged "Domain Admins" security group. Deze aanpak geeft effectief DNS-beheerders controle over het hele domein en de toegang tot alle resources op deze machine.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

JEA helpt dit probleem oplossen door ondersteuning bij het vaststellen van het principe van minimale bevoegdheden.JEA helps address this problem by helping you adopt the principle of Least Privilege. U kunt een eindpunt met JEA configureren voor DNS-beheerders die hen toegang geeft tot alle PowerShell-opdrachten die ze nodig hebben om hun werk gedaan te krijgen, maar niets meer.With JEA, you can configure a management endpoint for DNS administrators that gives them access to all the PowerShell commands they need to get their job done, but nothing more. Dit betekent dat u kunt bieden de juiste toegang tot een verontreinigd DNS-cache herstellen of opnieuw opstarten van de DNS-server zonder onbedoeld door ze te machtigen voor Active Directory, of het bestandssysteem te bladeren of mogelijk schadelijke scripts uitvoeren.This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. Nog beter wanneer de sessie JEA is geconfigureerd voor gebruik van tijdelijke bevoorrechte virtuele accounts, uw DNS-beheerders kunnen verbinding maken met de server via niet-beheerders referenties en nog steeds uitvoeren van opdrachten die doorgaans vereisen beheerdersbevoegdheden.Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still be able to run commands which typically require admin privileges. Deze mogelijkheid kunt u gebruikers uit beheerdersrollen veel bevoegdheden lokaal/domein verwijderen en in plaats daarvan zorgvuldig bepalen wat ze kunnen uitvoeren op elke machine.This capability enables you to remove users from widely-privileged local/domain administrator roles and instead carefully control what they are able to do on each machine.

Aan de slag met JEAGet Started with JEA

U kunt starten JEA vandaag gebruikt op elke computer waarop Windows Server 2016 of Windows 10 wordt uitgevoerd.You can start using JEA today on any machine running Windows Server 2016 or Windows 10. U kunt ook JEA uitvoeren op oudere besturingssystemen met een update voor Windows Management Framework.You can also run JEA on older operating systems with a Windows Management Framework update. Voor meer informatie over de vereisten voor gebruik van JEA en informatie over het maken, gebruiken, en een eindpunt JEA controleren, bekijk de volgende onderwerpen:To learn more about the requirements to use JEA and to learn how to create, use, and audit a JEA endpoint, check out the following topics:

Voorbeelden en DSC-resourceSamples and DSC resource

Voorbeeld JEA configuraties en de JEA DSC-resource gevonden in de JEA GitHub-opslagplaats.Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.