Net voldoende beheer

  • Artikel
  • 2 minuten om te lezen

Just Enough Administration (JEA) is een beveiligingstechnologie waarmee gedelegeerd beheer mogelijk is voor alles wat wordt beheerd door PowerShell. Met JEA kunt u het volgende doen:

  • Verminder het aantal beheerders op uw machines dat virtuele accounts of door groepen beheerde serviceaccounts gebruikt om namens gewone gebruikers bevoorrechte acties uit te voeren.
  • Beperk wat gebruikers kunnen doen door op te geven welke cmdlets, functies en externe opdrachten ze kunnen uitvoeren.
  • Krijg een beter inzicht in wat uw gebruikers doen met transcripten en logboeken die precies laten zien welke opdrachten een gebruiker tijdens de sessie heeft uitgevoerd.

Waarom is JEA belangrijk?

Accounts met hoge bevoegdheden die worden gebruikt voor het beheren van uw servers vormen een ernstig beveiligingsrisico. Als een aanvaller een van deze accounts in gevaar zou brengen, kan deze laterale aanvallen binnen uw organisatie uitvoeren. Elk aangetast account geeft een aanvaller toegang tot nog meer accounts en resources en plaatst hen een stap dichter bij het stelen van bedrijfsgeheimen, het starten van een Denial of Service-aanval en meer.

Het is ook niet altijd eenvoudig om beheerdersbevoegdheden te verwijderen. Houd rekening met het algemene scenario waarin de DNS-rol is geïnstalleerd op dezelfde computer als uw Active Directory-domein controller. Uw DNS-beheerders hebben lokale beheerdersbevoegdheden nodig om problemen met de DNS-server op te lossen. Maar als u dit wilt doen, moet u ze lid maken van de beveiligingsgroep Domeinad administrators met hoge bevoegdheden. Deze aanpak geeft DNS-beheerders effectief controle over uw hele domein en toegang tot alle resources op die computer.

JEA lost dit probleem op met het principe van Least Privilege. Met JEA kunt u een beheer-eindpunt configureren voor DNS-beheerders die hen alleen toegang geven tot de PowerShell-opdrachten die ze nodig hebben om hun taak uit te voeren. Dit betekent dat u de juiste toegang kunt bieden om een onverwerkte DNS-cache te herstellen of de DNS-server opnieuw op te starten zonder per ongeluk rechten te verlenen aan Active Directory, of om door het bestandssysteem te bladeren of mogelijk gevaarlijke scripts uit te voeren. Nog beter, wanneer de JEA-sessie is geconfigureerd voor het gebruik van tijdelijke bevoegde virtuele accounts, kunnen uw DNS-beheerders verbinding maken met de server met behulp van niet-beheerdersreferenties en nog steeds opdrachten uitvoeren waarvoor doorgaans beheerdersbevoegdheden zijn vereist. Met JEA kunt u gebruikers verwijderen uit algemeen bevoorrechte lokale/domeinbeheerdersrollen en zorgvuldig bepalen wat ze op elke computer kunnen doen.

Volgende stappen

Zie het artikel Vereisten voor meer informatie over de vereisten voor het gebruik van JEA.

Voorbeelden en DSC-resource

Voorbeeld van JEA-configuraties en de JEA DSC-resource vindt u in de JEA GitHub opslagplaats.