Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Just Enough Administration (JEA) — это технология безопасности, позволяющая делегировать администрирование в отношении всего, чем можно управлять через PowerShell. JEA позволяет сделать следующее:
- Уменьшите количество администраторов на компьютерах с помощью виртуальных учетных записей или управляемых группой учетных записей служб для выполнения привилегированных действий от имени обычных пользователей.
- Ограничение возможностей пользователей путем указания командлетов, функций и внешних команд, которые они могут выполнять.
- Лучше понять, что делают ваши пользователи с расшифровками и журналами, которые показывают, какие команды выполняются пользователем во время сеанса.
Почему JEA важен?
Высокопривилегированные учетные записи, используемые для администрирования серверов, представляют серьезную угрозу для безопасности. Если злоумышленник компрометирует одну из этих учетных записей, они могут запускать боковой атаки по всей организации. Каждая скомпрометированная учетная запись предоставляет злоумышленнику доступ к еще более учетным записям и ресурсам, и ставит их на один шаг ближе к краже секретов компании, запуск атаки типа "отказ в обслуживании" и многое другое.
Однако удаление прав администратора реализовать не всегда просто. Рассмотрим распространенный сценарий, в котором роль DNS устанавливается на том же компьютере, что и контроллер домена Active Directory. Администраторам DNS требуются права локального администратора для устранения проблем с DNS-сервером. Но для этого необходимо сделать их членами группы безопасности администраторов домена с высоким уровнем привилегий. Этот подход эффективно позволяет администраторам DNS контролировать весь домен и доступ ко всем ресурсам на этом компьютере.
JEA решает эту проблему с помощью принципа наименьших привилегий. При наличии JEA вы можете настроить для администраторов DNS конечную точку управления, предоставляющую им доступ только к командам PowerShell, которые нужны им для работы. Это означает, что вы можете предоставить соответствующие права доступа для восстановления поврежденного кэша DNS или перезапуска DNS-сервера без случайного предоставления прав доступа к Active Directory, на просмотр файловой системы или на запуск потенциально опасных сценариев. Еще лучше, если сеанс JEA настроен на использование временных привилегированных виртуальных учетных записей, администраторы DNS могут подключаться к серверу с помощью учетных данных, не являющихся администраторами , и по-прежнему выполнять команды, которые обычно требуют прав администратора. JEA позволяет удалять пользователей из широко привилегированных ролей локального или домена администратора и тщательно контролировать то, что они могут делать на каждом компьютере.
Дальнейшие шаги
Дополнительные сведения о требованиях к использованию JEA см. в статье о предварительных требованиях .
Примеры и ресурс DSC
Примеры конфигураций JEA и ресурса JEA DSC можно найти в репозитории JEA GitHub.
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
PowerShell