Apenas suficiente administração

Just Enough Administration (JEA) é uma tecnologia de segurança que permite a administração delegada para qualquer coisa gerida pela PowerShell. Com JEA, você pode:

  • Reduza o número de administradores nas suas máquinas utilizando contas virtuais ou contas de serviço geridas pelo grupo para realizar ações privilegiadas em nome de utilizadores regulares.
  • Limitar o que os utilizadores podem fazer especificando quais os cmdlets, funções e comandos externos que podem executar.
  • Compreender melhor o que os seus utilizadores estão a fazer com transcrições e registos que mostram exatamente quais os comandos executados por um utilizador durante a sessão.

Por que jea é importante?

Contas altamente privilegiadas utilizadas para administrar os seus servidores representam um sério risco de segurança. Se um intruso comprometer uma destas contas, podem lançar ataques laterais em toda a sua organização. Cada conta comprometida dá a um intruso acesso a ainda mais contas e recursos, e coloca-os um passo mais perto de roubar segredos da empresa, lançando um ataque de negação de serviço, e muito mais.

Nem sempre é fácil remover privilégios administrativos, também. Considere o cenário comum onde a função DNS é instalada na mesma máquina que o seu Controlador de Domínio do Diretório Ativo. Os seus administradores DNS requerem privilégios de administrador local para corrigir problemas com o servidor DNS. Mas para isso, devem torná-los membros do altamente privilegiado grupo de segurança domain Admins. Esta abordagem dá efetivamente aos administradores de DNS o controlo de todo o seu domínio e acesso a todos os recursos dessa máquina.

A JEA aborda este problema através do princípio do Menor Privilégio. Com a JEA, pode configurar um ponto final de gestão para administradores dns que lhes dá acesso apenas aos comandos PowerShell de que precisam para fazer o seu trabalho. Isto significa que pode fornecer o acesso adequado para reparar uma cache DE DNS envenenado ou reiniciar o servidor DNS sem lhes dar intencionalmente direitos ao Ative Directory, ou para navegar no sistema de ficheiros, ou executar scripts potencialmente perigosos. Melhor ainda, quando a sessão JEA é configurada para usar contas virtuais privilegiadas temporárias, os seus administradores DNS podem ligar-se ao servidor usando credenciais não administradas e ainda executar comandos que normalmente requerem privilégios de administração. A JEA permite-lhe remover os utilizadores das funções de administrador local/de domínio amplamente privilegiadas e controlar cuidadosamente o que podem fazer em cada máquina.

Passos seguintes

Para saber mais sobre os requisitos para usar JEA, consulte o artigo Pré-requisitos.

Amostras e recurso DSC

As configurações da amostra JEA e o recurso JEA DSC podem ser encontrados no repositório jea GitHub.