Just Enough Administration (JEA) 是一项安全技术,委派的管理员可通过它执行由 PowerShell 管理的任意操作。 使用 JEA,你可以:
- 使用虚拟机或组托管服务帐户减少计算机上的管理员数,代表普通用户执行特权作。
- 通过指定可以运行的 cmdlet、函数和外部命令来限制用户可以执行的作。
- 更好地了解用户正在做什么,通过转录和日志准确显示用户在会话期间执行的命令。
为什么 JEA 很重要?
用于管理服务器的高特权帐户会造成严重的安全风险。 如果攻击者入侵其中一个帐户,他们可能会在整个组织中发起 横向攻击 。 每个遭到入侵的帐户都允许攻击者访问更多帐户和资源,并使他们更接近窃取公司机密、发起拒绝服务攻击等。
而且,删除管理特权有时也并不容易。 请考虑在 Active Directory 域控制器所在的同一台计算机上安装 DNS 角色的常见方案。 DNS 管理员需要本地管理员特权才能解决 DNS 服务器方面的问题。 但为此,必须使它们成为高特权 域管理员 安全组的成员。 此方法有效地使 DNS 管理员能够控制整个域,并访问该计算机上的所有资源。
JEA 通过 最低特权原则解决了此问题。 通过 JEA,可为 DNS 管理员配置管理终结点,使其仅能够访问完成工作所需的 PowerShell 命令。 这意味着你可以提供适当的访问权限以修复中毒的 DNS 缓存或重启 DNS 服务器,而无需无意间授予他们对 Active Directory 的权限,或授予他们浏览文件系统、运行具有潜在危险的脚本的权限。 更好的是,当 JEA 会话配置为使用临时特权虚拟帐户时,DNS 管理员可以使用 非管理员 凭据连接到服务器,并且仍然运行通常需要管理员权限的命令。 JEA 使你能够将用户从权限广泛的本地/域管理员角色中移除,并仔细控制他们在每台计算机上可执行的操作。
后续步骤
若要详细了解使用 JEA 的要求,请参阅 先决条件 文章。
示例和 DSC 资源
可以在 JEA GitHub 存储库中找到示例 JEA 配置和 JEA DSC 资源。
