Just Enough AdministrationJust Enough Administration

JEA (Just Enough Administration) é uma tecnologia de segurança que habilita o uso de administração delegada para qualquer coisa que pode ser gerenciada com o PowerShell.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything that can be managed with PowerShell. Com o JEA, você pode:With JEA, you can:

  • Reduzir o número de administradores em seus computadores aproveitando contas virtuais ou contas de serviço gerenciadas por grupos que executam ações privilegiadas em nome dos usuários regulares.Reduce the number of administrators on your machines by leveraging virtual accounts or group managed service accounts that perform privileged actions on behalf of regular users.
  • Limitar o que os usuários podem fazer especificando quais cmdlets, funções e comandos externos eles podem executar.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Entender melhor o que seus usuários estão fazendo com transcrições e logs que mostram exatamente quais comandos um usuário executou durante uma sessão.Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

Por que isso é importante?Why is this important?

Contas altamente privilegiadas, usadas para administrar os servidores, representam um sério risco de segurança.Highly privileged accounts used to administer your servers pose a serious security risk. Caso um invasor comprometa uma dessas contas, poderia iniciar ataques laterais por toda a sua organização.Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. Cada conta que eles comprometessem poderia dar acesso a mais contas e recursos, colocando-os a um passo de roubar segredos da empresa, iniciar um ataque de negação de serviço e muito mais.Each account they compromise can give them access to even more accounts and resources, putting them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

No entanto, nem sempre é fácil remover privilégios administrativos.It is not always easy to remove administrative privileges, either. Considere um cenário comum no qual a função DNS é instalada no mesmo computador que seu Controlador de Domínio do Active Directory.Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. Os administradores de DNS necessitam de privilégios de administrador local para corrigir problemas com o servidor DNS, porém, para isso você precisa torná-los membros do grupo de segurança altamente privilegiado "Administradores do Domínio".Your DNS administrators require local administrator privileges to fix issues with the DNS server, but in order to do so you have to make them members of the highly privileged "Domain Admins" security group. Essa abordagem concede de forma efetiva aos Administradores de DNS o controle todo o domínio e o acesso a todos os recursos nesse computador.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

O JEA auxilia na resolução desse problema, ajudando a adotar o princípio de Privilégio Mínimo.JEA helps address this problem by helping you adopt the principle of Least Privilege. Com o JEA, você pode configurar um ponto de extremidade de gerenciamento para administradores de DNS que concede acesso a todos os comandos do PowerShell que eles precisam para trabalhar e nada mais.With JEA, you can configure a management endpoint for DNS administrators that gives them access to all the PowerShell commands they need to get their job done, but nothing more. Isso significa que você pode fornecer o acesso apropriado para reparar um cache DNS inviabilizado ou reiniciar o servidor DNS, sem acidentalmente conceder a eles direitos ao Active Directory, para navegar no sistema de arquivos ou para executar scripts potencialmente perigosos.This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. Melhor ainda, quando a sessão JEA está configurada para usar contas virtuais privilegiadas temporárias, seus administradores de DNS podem se conectar ao servidor usando credenciais não administrativas e ainda poderão executar comandos que, geralmente, necessitam de privilégios de administrador.Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still be able to run commands which typically require admin privileges. Essa capacidade permite que você remova usuários das funções de administrador local ou de domínio com privilégios amplos e, em vez disso, controle cuidadosamente o que eles podem fazer em cada computador.This capability enables you to remove users from widely-privileged local/domain administrator roles and instead carefully control what they are able to do on each machine.

Introdução ao JEAGet Started with JEA

Você pode começar a usar o JEA hoje em qualquer computador executando o Windows Server 2016 ou Windows 10.You can start using JEA today on any machine running Windows Server 2016 or Windows 10. Também é possível executar o JEA em sistemas operacionais mais antigos com uma atualização do Windows Management Framework.You can also run JEA on older operating systems with a Windows Management Framework update. Para saber mais sobre os requisitos para usar o JEA e aprender a criar, usar e auditar um ponto de extremidade JEA, consulte os tópicos a seguir:To learn more about the requirements to use JEA and to learn how to create, use, and audit a JEA endpoint, check out the following topics:

  • Pré-requisitos – explica como configurar seu ambiente para usar o JEA.Prerequisites - explains how to set up your environment to use JEA.
  • Recursos de Função – explica como criar funções que determinam o que um usuário pode fazer em uma sessão do JEA.Role Capabilities - explains how to create roles which determine what a user is allowed to do in a JEA session.
  • Configurações de Sessão – explica como configurar pontos de extremidade JEA que mapeiam usuários às funções e como definir a identidade JEASession Configurations - explains how to configure JEA endpoints that map users to roles and set the JEA identity
  • Registrando JEA – criar um ponto de extremidade JEA e torná-lo disponível para os usuários se conectarem.Registering JEA - create a JEA endpoint and make it available for users to connect to.
  • Usando JEA – conheça as várias maneiras de usar o JEA.Using JEA - learn the various ways you can use JEA.
  • Considerações de Segurança – examine as práticas recomendadas de segurança e as implicações das opções de configuração de JEA.Security Considerations - review security best practices and implications of JEA configuration options.
  • Auditoria e relatórios no JEA – aprenda a fazer auditoria e relatórios em pontos de extremidade JEA.Audit and Report on JEA - learn how to audit and report on JEA endpoints.

Exemplos e recurso DSCSamples and DSC resource

Exemplos de configurações de JEA e o recurso DSC de JEA podem ser encontrados no Repositório GitHub de JEA.Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.