Precis tillräcklig administration

  • Artikel
  • 2 minuter för att läsa

JEA (Just Enough Administration) är en säkerhetsteknik som möjliggör delegerad administration för allt som hanteras av PowerShell. Med JEA kan du:

  • Minska antalet administratörer på dina datorer med hjälp av virtuella konton eller grupp-hanterade tjänstkonton för att utföra privilegierade åtgärder för vanliga användares räkning.
  • Begränsa vad användare kan göra genom att ange vilka cmdlets, funktioner och externa kommandon som de kan köra.
  • Bättre förstå vad användarna gör med avskrifter och loggar som visar exakt vilka kommandon en användare körde under sessionen.

Varför är JEA viktigt?

Konton med hög privilegier som används för att administrera dina servrar utgör en allvarlig säkerhetsrisk. Om en angripare skulle kompromettera ett av dessa konton kan de starta laterala attacker i organisationen. Varje komprometterat konto ger en angripare tillgång till ännu fler konton och resurser och placerar dem ett steg närmare att stjäla företagshemligheter, starta en doS-attack och mycket mer.

Det är inte alltid lätt att ta bort administrativa privilegier heller. Tänk dig ett vanligt scenario där DNS-rollen är installerad på samma dator som din Active Directory-domän Controller. DINA DNS-administratörer kräver lokal administratörsbehörighet för att åtgärda problem med DNS-servern. Men för att göra det måste du göra dem till medlemmar i säkerhetsgruppen Domänadministratörer med hög privilegier. Den här metoden ger effektivt DNS-administratörer kontroll över hela domänen och åtkomst till alla resurser på den datorn.

JEA löser det här problemet med principen om minsta behörighet. Med JEA kan du konfigurera en hanteringsslutpunkt för DNS-administratörer som endast ger dem åtkomst till de PowerShell-kommandon som de behöver för att få jobbet gjort. Det innebär att du kan ge lämplig åtkomst för att reparera en skadliga DNS-cache eller starta om DNS-servern utan att oavsiktligt ge dem behörighet till Active Directory, bläddra i filsystemet eller köra potentiellt farliga skript. Ännu bättre är att när JEA-sessionen är konfigurerad för att använda tillfälliga privilegierade virtuella konton, kan DNS-administratörerna ansluta till servern med autentiseringsuppgifter som inte är administratörer och fortfarande köra kommandon som vanligtvis kräver administratörsbehörighet. MED JEA kan du ta bort användare från privilegierade lokala/domänadministratörsroller och noggrant kontrollera vad de kan göra på varje dator.

Nästa steg

Mer information om kraven för att använda JEA finns i artikeln Förutsättningar.

Exempel och DSC-resurs

Exempel på JEA-konfigurationer och JEA DSC-resursen finns på JEA-GitHub-lagringsplatsen.