التحكم عن بعد الآمن باستخدام PowerShell مع إدارة كافية فقط (JEA)

أصبح استخدام تقنية PowerShell للتحكم عن بعد أمراً لا غنى عنه تقريباً في أي بيئة ويندوز على الرغم من حداثة هذا النظام، إلا أن منح الوصول عن بُعد دون تحكم يُشبه ترك مفاتيح مركز البيانات مكشوفة. وهنا تكمن المشكلة. الإدارة الكافية (JEA)، طبقة أمان تسمح لك بتفويض المهام دون منح حقوق المسؤول بشكل عشوائي.

باستخدام JEA، يمكنك إعداد نقاط وصول عن بُعد محدودة للغاية حيث يقوم مستخدمون محددون فقط بتشغيلها الأوامر التي فوضتها، بموجب حسابات ذات امتيازات أكثر، ولكن دون معرفة المؤهلات الحقيقية أو القدرة على الخروج عن النص.وقد تم تسجيل كل هذا في نصوص مكتوبة. الجذوع تتيح لك هذه التفاصيل بعد ذلك تدقيق من قام بماذا ومتى ومن أين.

ما هي الإدارة الكافية (JEA) ولماذا هي مهمة؟

Just-Enough-Administration هي تقنية أمان تعتمد على PowerShell وهو ما يطبق نموذج إدارة مفوض بأقل قدر ممكن من الصلاحيات. عمليًا، يتيح لك JEA الوصول إلى نقاط نهاية بعيدة حيث تتوفر فقط مجموعة مغلقة من أوامر cmdlets والوظائف والبرامج النصية والأوامر الخارجية التي تحددها أنت.

بفضل هذا النهج، يمكنك تقليل عدد الحسابات ذات الامتيازات المرتفعة بشكل كبير يمكنك على خوادمك استخدام حسابات افتراضية أو حسابات خدمة مُدارة جماعيًا (gMSAs) لتنفيذ إجراءات ذات صلاحيات خاصة نيابةً عن المستخدمين العاديين. يقوم المستخدم بتسجيل الدخول باستخدام بيانات اعتماده المعتادة، ومن خلال جلسة JEA، يُشغّل أوامر تُنفّذ في الخلفية بصلاحيات أعلى.

ومن الركائز الأساسية الأخرى لشركة JEA القدرة على لتحديد ما يمكن أن يفعله كل دور بدقةتحدد ملفات صلاحيات الأدوار أوامر cmdlets، والوظائف المخصصة، والأوامر الخارجية، وموفري PowerShell المرئية. أما الباقي فهو غير متاح للمستخدم: فلا يمكنه إنشاء نصوص برمجية، أو تصفح نظام الملفات بحرية، أو الوصول إلى الخدمات أو العمليات التي لم تحددها.

علاوة على ذلك، يمكن تهيئة جميع جلسات JEA لإنشاء نصوص كاملة وأحداث التدقيقإن تسجيل الأوامر والمعلمات والمخرجات والأخطاء وهوية المستخدم وأوقات التنفيذ لا يساعد فقط في تلبية المتطلبات التنظيمية، بل إنه لا يقدر بثمن عند التحقيق في حادث أمني أو فشل تشغيلي.

مخاطر الحسابات ذات الامتيازات وكيفية تخفيفها من قبل JEA

تشير حسابات المسؤولين المحليين أو مسؤولي النطاق أو مسؤولي التطبيقات ذات الصلاحيات المرتفعة إلى أحد أخطر عوامل الخطر في أي منظمةإذا حصل المهاجم على إحدى هذه البيانات، فيمكنه التحرك بشكل جانبي عبر الشبكة، وتصعيد الامتيازات، والوصول إلى البيانات الحيوية، والخدمات الرئيسية، أو حتى تعطيل الأنظمة بأكملها.

إزالة الامتيازات ليست دائمًا بالأمر الهين. ومن الأمثلة الكلاسيكية على ذلك ما يلي: خادم يستضيف كلاً من نظام أسماء النطاقات (DNS) ووحدة تحكم مجال Active Directoryيحتاج فريق نظام أسماء النطاقات (DNS) إلى صلاحيات مسؤول محلي لتشخيص مشاكل خدمة DNS، ولكن إضافتهم إلى مجموعة مسؤولي النطاق يمنحهم فعليًا تحكمًا كاملًا في الغابة وإمكانية الوصول إلى أي مورد على ذلك الجهاز. هذا مثال كلاسيكي على التضحية بالأمان من أجل سهولة التشغيل.

يحلّ قانون JEA هذه المعضلة من خلال التطبيق الصارم لـ مبدأ الحد الأدنى من الامتيازبدلاً من جعل مسؤولي نظام أسماء النطاقات (DNS) مسؤولين عن النطاق، يمكنك إنشاء نقطة نهاية مخصصة لـ DNS JEA تعرض فقط أوامر cmdlets اللازمة لمسح ذاكرة التخزين المؤقت، وإعادة تشغيل الخدمة، ومراجعة السجلات، أو مهام مماثلة. يتيح هذا للمشغل أداء مهامه دون الحاجة إلى فحص Active Directory، أو تصفح نظام الملفات، أو تشغيل برامج نصية عشوائية، أو تنفيذ أدوات قد تكون خطيرة.

عند تكوين جلسات JEA لاستخدامها حسابات افتراضية ذات صلاحيات مؤقتةالأمر الأكثر إثارة للاهتمام هو أن المستخدم يتصل باستخدام بيانات اعتماد غير مميزة، ومن خلال هذه الجلسة، يمكنه تنفيذ مهام تتطلب عادةً صلاحيات المسؤول. وهذا يسمح بإزالة العديد من المستخدمين من مجموعات المسؤولين المحليين أو مجموعات مسؤولي النطاق، مما يحافظ على سير العمليات مع تعزيز الحماية من الهجمات بشكل كبير.

مفاهيم الأمان التي تدعم JEA

لم تظهر شركة JEA من العدم: وهو يستند إلى العديد من المبادئ والنماذج الأمنية الراسخة. مما يمنحه التماسك والمتانة. أولها مبدأ أقل الامتيازات المذكور آنفاً، والذي ينص على أنه يجب أن يمتلك كل من المستخدمين والعمليات فقط الأذونات الضرورية لأداء وظائفهم.

أما الركيزة الرئيسية الثانية فهي نموذج التحكم في الوصول القائم على الأدوار (RBAC)تُطبّق JEA نظام التحكم في الوصول المستند إلى الأدوار (RBAC) من خلال ملفات صلاحيات الأدوار، حيث تُحدد ما يمكن لدورٍ مُعين القيام به ضمن جلسة تحكم عن بُعد. على سبيل المثال، يمكن لدور مكتب المساعدة عرض الخدمات، وعرض الأحداث، وإعادة تشغيل خدمة مُحددة، بينما لا يمكن لدور إدارة خادم SQL تنفيذ سوى أوامر cmdlets المتعلقة بـ... قواعد البيانات وأكثر من ذلك بقليل.

La تعتمد JEA تقنياً على PowerShell وبنيتها التحتية للتحكم عن بعديوفر PowerShell اللغة، والأوامر، وطبقة الاتصال عن بعد (WinRM/WS-Management)، ويضيف JEA إلى ذلك نظامًا من نقاط النهاية المقيدة، والحسابات الافتراضية، والتحكم الدقيق في الأوامر المتاحة.

مفهوم آخر مهم هو إدارة مقيدة، على غرار أ الوصول المخصص في وضع الكشك في نظام التشغيل Windows 11بدلاً من منح المستخدم صلاحيات كاملة، يقوم JEA بإنشاء جلسة عمل تُقيّد فيها لغة البرمجة النصية (افتراضياً، NoLanguage)، ويُحظر إنشاء دوال أو متغيرات جديدة، كما تُمنع الحلقات والشروط، ولا يُسمح بتنفيذ سوى مجموعة الأوامر المعتمدة. هذا يُحدّ بشدة من قدرة أي مهاجم يتمكن من الوصول إلى تلك الجلسة.

المكونات الرئيسية: ملفات .psrc و .pssc

يوجد نوعان من الملفات في صميم أي عملية نشر لـ JEA: ملفات صلاحيات الأدوار (.psrc) وملفات تكوين الجلسة (.pssc)معًا، يحولان واجهة المستخدم العامة إلى نقطة نهاية مصممة خصيصًا لمستخدمين محددين.

في ملف صلاحيات الدور، تقوم بتحديد ما هي الأوامر المتاحة لهذا الدور تحديداً؟من بين أهم العناصر ما يلي:

• أدوات التحكم المرئيةقائمة الأوامر المسموح بها، مع إمكانية تقييد المعلمات.
• الوظائف المرئية: وظائف مخصصة يتم تحميلها في الجلسة.
• الأوامر الخارجية المرئية: ملفات تنفيذية خارجية محددة يتم الوصول إليها.
• الموفرون المرئيون: موفري PowerShell (على سبيل المثال، FileSystem أو Registry) المرئيين في الجلسة.

أما ملفات تكوين جلسة .pssc، من ناحية أخرى، يصفون نقطة نهاية JEA على هذا النحو ويربطونها بالأدوار.يتم هنا الإعلان عن عناصر مثل ما يلي:

• تعريفات الأدوار: ربط المستخدمين أو مجموعات الأمان بإمكانيات الأدوار.
• نوع الجلسة: حيث يتم عادةً تعيين 'RestrictedRemoteServer' لتشديد أمان الجلسة.
• دليل النسخ: المجلد الذي تُخزَّن فيه نصوص كل جلسة.
• تشغيل كحساب افتراضي والخيارات ذات الصلة، مثل ما إذا كان الحساب الافتراضي سيضاف إلى مجموعات محددة.

تتجسد JEA في شكل نقاط نهاية PowerShell عن بعد المسجلة في النظاميتم إنشاء هذه النقاط النهائية وتفعيلها باستخدام أوامر مثل: ملف تكوين جلسة PowerShell الجديد, تسجيل تكوين جلسة PowerShell أو الأدوات الرسومية مثل أداة JEA Helper Tool، مما يسهل إنشاء ملفات .pssc و .psrc دون الحاجة إلى بذل الكثير من الجهد في التعامل مع بناء الجملة.

دورة حياة جلسة JEA

عند إعداد بيئة JEA كاملة، تتبع العملية عادةً سلسلة من الخطوات المنطقية التي إنها تحول نظام التحكم عن بعد المفتوح إلى نظام خاضع لحوكمة صارمة.التسلسل النموذجي هو:

أولاً ، تقوم بإنشاء ملف مجموعة أمنية أو عدة مجموعات تمثل هذه المجموعات الأدوار التي ترغب في تفويضها (على سبيل المثال، مكتب المساعدة، ومشغلو الويب، ومشغلو SQL). استخدام المجموعات ليس إلزاميًا، ولكنه يُسهّل الإدارة بشكل كبير مع نمو بيئة العمل.

ثم يتم إعداد واحد أو أكثر ملفات صلاحيات الأدوار .psrc تُحدد هذه القائمة الإجراءات المسموح بها: أوامر cmdlets، والدوال، والبرامج النصية، والأوامر الخارجية، والأسماء المستعارة، وموفري الخدمات، والقيود الإضافية (معلمات محددة، ومسارات مسموح بها، إلخ). على سبيل المثال، يمكنك هنا السماح بجميع أوامر cmdlets التي تبدأ بـ Get-، وتقييد Restart-Service بخدمة Spooler، والسماح فقط لموفر FileSystem.

يتم إنشاء ما يلي ملف تكوين الجلسة .pssc باستخدام New-PSSessionConfigurationFile. يحدد هذا الخيار خيارات مثل SessionType = RestrictedRemoteServer، ومسار TranscriptDirectory، وما إذا كانت الحسابات الافتراضية مستخدمة، وكتلة RoleDefinitions التي تربط المجموعات بإمكانيات الأدوار، على سبيل المثال، 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.

بعد تجهيز ملف .pssc مسبقًا، يتم تسجيل نقطة النهاية باستخدام Register-PSSessionConfiguration -Name JEASession Name -path Path\File.psscمن تلك اللحظة فصاعدًا، إذا تم سرد التكوينات المتاحة باستخدام Get-PSSessionConfiguration، فستظهر نقطة الاتصال الجديدة جاهزة لتلقي الاتصالات.

يتصل المستخدمون بهذه النقطة النهائية من أجهزة الكمبيوتر الخاصة بهم باستخدام أدخل -PSSession -ComputerName Server -ConfigurationName JEASession Name أو باستخدام الأمر New-PSSession ثم Invoke-Command. عند الدخول، تُطبّق الجلسة تلقائيًا القيود المحددة في صلاحية الدور المرتبط بالمستخدم.

خلال الجلسة ، يستخدم PowerShell للتحكم عن بعد WinRM مع قنوات مشفرةيتم استخدام المصادقة المتكاملة (عادةً Kerberos في النطاق) وقواعد جدار الحماية المُحددة للخدمة. وبناءً على ذلك، إذا تم تفعيل RunAsVirtualAccount، يتم إنشاء حساب افتراضي مؤقت، وإضافته إلى المجموعات اللازمة، ثم حذفه عند انتهاء الجلسة.

وأخيراً، عند اختتام جلسة JEA، يتم حفظ سجلات التدقيق والأحداث تُوفّر هذه السجلات مسارًا واضحًا للأوامر المُنفّذة والنتائج وسياق المستخدم. ويمكن بعد ذلك إرسالها إلى نظام إدارة معلومات الأمان والأحداث (SIEM) أو ربطها به لإصدار التنبيهات وإجراء المزيد من التحليلات.

التحكم عن بعد في PowerShell، والتحكم في الوصول، والتحصين

خدمة PowerShell Remoting، المدعومة من قبل الخدمة إدارة ويندوز عن بعد (WinRM) يُتيح بروتوكول إدارة خدمات الويب (WS-Management) تنفيذ الأوامر والبرامج النصية مركزياً على أجهزة الكمبيوتر البعيدة. وهو أداة فعّالة لأتمتة العمليات، وإدارة الخوادم على نطاق واسع، وتصحيح الأخطاء، والدعم عن بُعد.

إفتراضي، المسؤولون المحليون وأعضاء مجموعة مستخدمي الإدارة عن بُعد يمكنهم استخدام نقاط نهاية PowerShell القياسية. في العديد من البيئات، استُخدمت هذه الإمكانية للسماح للمستخدمين غير الإداريين بتشغيل مهام عن بُعد، وهو أمر ليس خطيرًا بطبيعته، ولكن إذا لم يتم التحكم فيه بشكل صحيح، فإنه يفتح ثغرة كبيرة للاستغلال.

لتعزيز الوضع الأمني، تتضمن إحدى الاستراتيجيات الشائعة ما يلي: تقييد الوصول عن بُعد إلى PowerShell لحسابات المسؤولين فقط. أو، والأفضل من ذلك، دمج هذا القيد مع نقاط نهاية JEA التي تمنح مستخدمين محددين فقط الوصول الضروري للغاية. ويمكن تحقيق ذلك من خلال:

• كائنات نهج المجموعة التي تحدد المجموعات التي يمكنها استخدام WinRM ونقاط النهاية الافتراضية.
• قواعد جدار الحماية التي تسمح باستخدام WinRM فقط من الشبكات الفرعية أو أجهزة الكمبيوتر الإدارية.
• إزالة مجموعة مستخدمي الإدارة عن بعد من قوائم التحكم بالوصول (ACLs) لنقاط النهاية القياسية.

بالإضافة إلى ذلك، يمكنك اختيار حظر استخدام PowerShell تمامًا للمستخدمين غير الإداريين باستخدام حلول مثل AppLocker. بهذه الطريقة، تمنع المستخدم العادي من تشغيل البرامج النصية الضارة محليًا، مع السماح في الوقت نفسه للحسابات ذات الامتيازات باستخدام PowerShell لإدارة المهام وأتمتتها.

مقارنة بين JEA وطرق تقييد PowerShell الأخرى

توجد عدة طرق للحد من صلاحيات المستخدمين في استخدام PowerShell عن بُعد، و يُعدّ JEA خيارًا أنحف وأكثر مرونة. ضمن نطاق يشمل مناهج أوسع مثل:

من ناحية أخرى، استخدام سياسة المجموعة للتحكم في من يدخل إلى نقاط نهاية PowerShell الافتراضيةيمكن تقييد استخدام Microsoft PowerShell للمسؤولين فقط، أو حتى إلغاء تسجيله للجميع، مما يُجبر على استخدام نقاط نهاية محددة. يُعدّ هذا مفيدًا لتقييد الوصول بطريقة "القوة الغاشمة"، ولكنه لا يحلّ مشكلة التحكم الدقيق: فمن يحصل على الوصول يستطيع فعل أي شيء تقريبًا.

من ناحية أخرى، توجد أدوات للتحكم في التطبيقات مثل سياسات AppLocker أو تقييد البرامجتتيح لك هذه الطرق منع تشغيل PowerShell.exe أو pwsh.exe للمستخدمين العاديين، إما عن طريق المسار أو الناشر أو التجزئة. يُعد هذا الأسلوب مفيدًا لتأمين محطات العمل ومنع أي مستخدم من تشغيل PowerShell، ولكنه يفرض قيودًا عند الرغبة في منح المستخدم صلاحيات محدودة لأداء مهام إدارية من حسابه.

خيار آخر نقاط نهاية مقيدة دون الوصول إلى JEA الكامليمكنك إنشاء إعدادات جلسات مخصصة تقيّد أوامر cmdlets والوظائف والوحدات النمطية، ولكن دون الاعتماد بشكل كبير على نموذج الأدوار أو الحسابات الافتراضية أو نظام التحكم في الوصول المستند إلى الأدوار (RBAC) الذي توفره JEA. إنه حل وسط مناسب للسيناريوهات البسيطة، ولكنه أقل قابلية للتوسع في البيئات الكبيرة.

تجمع JEA بين أفضل ما في عدة عوالم: تقييد صارم للأوامر، والتحكم في الوصول المستند إلى الأدوار، وتنفيذ امتيازات مرتفعة مُتحكم بها، وتسجيل شاملوهذا ما يجعله الحل الموصى به عندما تحتاج إلى تمكين الوصول عن بعد إلى PowerShell لغير المسؤولين، ولكن دون منحهم بيئة إدارة كاملة.

ميزات متقدمة: التشغيل كحساب آخر وتسجيل الدخول

إحدى أقوى قدرات شركة JEA هي تنفيذ الأوامر باستخدام حساب آخر ذي صلاحيات أعلى دون الكشف عن بيانات اعتمادكهذا يحل المشكلة النموذجية المتمثلة في "سأعطيك كلمة المرور لهذه الخدمة حتى تتمكن من القيام بـ X"، والتي لا يتم تغييرها أبدًا وتنتهي بمخاطرة كبيرة.

تُستخدم سيناريوهات المجال بشكل شائع حسابات الخدمات المُدارة للمجموعات (gMSA) يُمكّن هذا نقاط نهاية JEA من تنفيذ الإجراءات تحت هوية خدمة مُدارة مركزياً، مع تدوير تلقائي لكلمات المرور ودون أن يعرف أي مُشغّل كلمة المرور السرية. في حالات أخرى، تُستخدم حسابات افتراضية مؤقتة محلية على الجهاز، تُنشأ عند اتصال المستخدم وتُحذف عند انتهاء الجلسة.

من منظور التدقيق، يمكن تهيئة كل جلسة JEA لـ قم بإنشاء كل من نصوص PowerShell وإدخالات سجل الأحداث الغنيةتشمل المعلومات التي يتم جمعها عادةً ما يلي:

• سجل كامل للأوامر والمعلمات المدخلة.
• تم إنشاء المخرجات ورسائل الخطأ.
• الطابع الزمني لبداية ونهاية الجلسة، بالإضافة إلى مدتها.
• هوية المستخدم المسجل ودوره/صلاحياته المعينة.

إذا قمت بدمج هذه الآثار مع وظائف تسجيل وحدة PowerShell سيناريو حظر التسجيل عبر GPOوبإرسال السجلات إلى نظام إدارة معلومات الأمان والأحداث (SIEM)، تحصل على رؤية شاملة لما يحدث على نقاط نهاية الإدارة لديك. وهذا أمر بالغ الأهمية للامتثال (عمليات تدقيق قانون ساربينز-أوكسلي، ومعيار ISO 27001، وما إلى ذلك) واكتشاف الحوادث والاستجابة لها.

حالات استخدام JEA النموذجية في بيئات العالم الحقيقي

تتألق شركة JEA بشكل خاص عندما تحتاج تفويض مهام محددة للغاية إلى فرق لا ينبغي أن تكون إداريةمن الأمثلة الشائعة جداً في الممارسة العملية ما يلي:

في مجال الدعم الفني، يمكنك الاستعانة بفنيين ذوي مستوى عالٍ إمكانية الوصول إلى JEA لإعادة تشغيل الخدمات، وعرض سجلات الأحداث، والتحقق من حالة العملية على الخوادم، ولكن دون القدرة على تثبيت البرامج أو تعديل الإعدادات الأساسية أو الوصول إلى Active Directory. قد يتضمن دور مكتب المساعدة النموذجي أوامر cmdlets مثل Get-Service وRestart-Service لخدمات محددة وGet-EventLog في وضع القراءة فقط، وبعض أوامر cmdlets لتشخيص الشبكة.

في فرق العمليات أو فرق التطوير، يمكنك تكوين أدوار تركز على مهام محددة مثل إدارة IIS أو صيانة مواقع الويبعلى سبيل المثال، السماح بالوصول إلى أوامر إدارة مجموعة التطبيقات، وإعادة تشغيل مواقع الويب، والاستعلام عن السجلات من دليل محدود، وإدارة الشهادات لخدمات محددة، مع استبعاد أي قدرة على إعادة تشغيل الخادم بالكامل أو تعديل سياسات الأمان.

في البيئات الهجينة والسحابية، يُستخدم JEA بشكل متكرر لـ الحد من ما يمكن لكل فريق فعله بشأن الأجهزة الافتراضية, تخزين أو الشبكاتيمكنك كشف نقاط النهاية التي تسمح لك بإدارة الأجهزة الافتراضية لقسم معين فقط، أو تعديل قواعد جدار الحماية لقطاع معين، أو إدارة مجموعة معينة من حسابات الخدمة، مع الحفاظ على الوصول منفصلاً عن بقية البنية التحتية.

وفي الوقت نفسه، تتناسب JEA بشكل جيد للغاية مع استراتيجيات إدارة الوصول المتميز (PAM)حيث يتم منح الجلسات المميزة مؤقتًا، وتسجيلها، ونسبتها إلى الهويات الشخصية، مما يتجنب الحسابات المشتركة ويقلل من المخاطر المرتبطة بكل إجراء مميز.