জাস্ট-এনাফ-অ্যাডমিনিস্ট্রেশন (JEA) এর মাধ্যমে পাওয়ারশেল সুরক্ষিত রিমোটিং

যেকোনো পরিবেশে পাওয়ারশেল রিমোটিং ব্যবহার প্রায় অপরিহার্য হয়ে উঠেছে। উইন্ডোজ আধুনিক, কিন্তু নিয়ন্ত্রণ ছাড়াই দূরবর্তী অ্যাক্সেস প্রদান করা টেবিলের উপর ডেটা সেন্টারের চাবি রেখে দেওয়ার মতো। এখানেই খেলাটি আসে। যথেষ্ট প্রশাসন (JEA), নিরাপত্তার একটি স্তর যা আপনাকে প্রশাসকের অধিকার বাম এবং ডানে না দিয়েই কাজগুলি অর্পণ করতে দেয়।

JEA এর মাধ্যমে আপনি খুব সীমিত রিমোট অ্যাক্সেস পয়েন্ট সেট আপ করতে পারেন যেখানে নির্দিষ্ট ব্যবহারকারীরা শুধুমাত্র comandos আপনি আরও সুবিধাপ্রাপ্ত অ্যাকাউন্টের অধীনে অনুমোদিত করেছেন, কিন্তু আসল প্রমাণপত্র না জেনে অথবা স্ক্রিপ্ট থেকে বিচ্যুত হতে না পেরেএবং এই সবকিছুই প্রতিলিপিতে লিপিবদ্ধ করা হয়েছিল এবং লগ বিস্তারিতভাবে বর্ণনা করা হয়েছে যা আপনাকে কে কী করেছে, কখন এবং কোথা থেকে তা নিরীক্ষণ করতে দেয়।

জাস্ট-এনাফ-অ্যাডমিনিস্ট্রেশন (JEA) কী এবং কেন এটি গুরুত্বপূর্ণ?

জাস্ট-এনাফ-অ্যাডমিনিস্ট্রেশন হল একটি পাওয়ারশেল-ভিত্তিক নিরাপত্তা প্রযুক্তি যা সর্বনিম্ন প্রয়োজনীয় সুবিধাসহ একটি ডেলিগেটেড অ্যাডমিনিস্ট্রেশন মডেল বাস্তবায়ন করে। বাস্তবে, JEA আপনাকে দূরবর্তী এন্ডপয়েন্টগুলি প্রকাশ করতে দেয় যেখানে শুধুমাত্র আপনার দ্বারা সংজ্ঞায়িত cmdlets, ফাংশন, স্ক্রিপ্ট এবং বহিরাগত কমান্ডের একটি বন্ধ সেট উপলব্ধ থাকে।

এই পদ্ধতির জন্য ধন্যবাদ, আপনি পারেন উন্নত সুবিধা সহ অ্যাকাউন্টের সংখ্যা নাটকীয়ভাবে হ্রাস করুন আপনার সার্ভারে, আপনি ভার্চুয়াল অ্যাকাউন্ট বা গ্রুপ-ম্যানেজড সার্ভিস অ্যাকাউন্ট (gMSA) ব্যবহার করতে পারেন যা স্ট্যান্ডার্ড ব্যবহারকারীদের পক্ষে বিশেষাধিকারপ্রাপ্ত ক্রিয়া সম্পাদন করে। ব্যবহারকারী তাদের স্বাভাবিক শংসাপত্র দিয়ে লগ ইন করে এবং JEA সেশনের মাধ্যমে, উচ্চতর বিশেষাধিকার সহ পর্দার আড়ালে কার্যকর করা কমান্ডগুলি চালু করে।

JEA-এর আরেকটি মূল স্তম্ভ হল ক্ষমতা প্রতিটি ভূমিকা কী করতে পারে তা সুনির্দিষ্টভাবে সংজ্ঞায়িত করাভূমিকা ক্ষমতা ফাইলগুলি নির্ধারণ করে যে কোন cmdlets, কাস্টম ফাংশন, বহিরাগত কমান্ড, অথবা PowerShell প্রদানকারী দৃশ্যমান। বাকিগুলি কেবল ব্যবহারকারীর জন্য বিদ্যমান নয়: তারা স্ক্রিপ্টগুলি উন্নত করতে, ফাইল সিস্টেমে অবাধে নেভিগেট করতে, অথবা আপনার নির্দিষ্ট না করা পরিষেবা বা প্রক্রিয়াগুলিতে অ্যাক্সেস করতে পারে না।

অধিকন্তু, সমস্ত JEA সেশন তৈরি করার জন্য কনফিগার করা যেতে পারে সম্পূর্ণ প্রতিলিপি এবং নিরীক্ষা ইভেন্টকমান্ড, প্যারামিটার, আউটপুট, ত্রুটি, ব্যবহারকারীর পরিচয় এবং কার্যকর করার সময় ক্যাপচার করা কেবল নিয়ন্ত্রক প্রয়োজনীয়তা পূরণে সহায়তা করে না বরং সুরক্ষা ঘটনা বা অপারেশনাল ব্যর্থতার তদন্ত করার সময়ও অমূল্য।

সুবিধাপ্রাপ্ত অ্যাকাউন্টের ঝুঁকি এবং JEA কীভাবে সেগুলি হ্রাস করে

উন্নত অনুমতি সহ স্থানীয়, ডোমেন, অথবা অ্যাপ্লিকেশন প্রশাসক অ্যাকাউন্টগুলি বোঝায় যেকোনো প্রতিষ্ঠানের সবচেয়ে গুরুতর ঝুঁকির বাহকগুলির মধ্যে একটিযদি কোনও আক্রমণকারী এই শংসাপত্রগুলির মধ্যে একটি অর্জন করে, তবে তারা নেটওয়ার্কের মধ্য দিয়ে পার্শ্বীয়ভাবে স্থানান্তর করতে পারে, সুবিধাগুলি বাড়িয়ে তুলতে পারে এবং গুরুত্বপূর্ণ ডেটা, গুরুত্বপূর্ণ পরিষেবাগুলিতে অ্যাক্সেস পেতে পারে, এমনকি সম্পূর্ণ সিস্টেমটিও ধ্বংস করতে পারে।

বিশেষাধিকার অপসারণ সবসময় তুচ্ছ নয়। এর একটি ক্লাসিক উদাহরণ হল একটি সার্ভার যা DNS এবং একটি অ্যাক্টিভ ডিরেক্টরি ডোমেন কন্ট্রোলার উভয়ই হোস্ট করেDNS পরিষেবা সমস্যা সমাধানের জন্য DNS টিমের স্থানীয় প্রশাসকের অধিকারের প্রয়োজন, কিন্তু ডোমেন অ্যাডমিন গ্রুপে সেগুলি যোগ করলে তারা কার্যকরভাবে সমগ্র বনের উপর নিয়ন্ত্রণ এবং সেই মেশিনের যেকোনো রিসোর্সে অ্যাক্সেস পেতে পারে। এটি অপারেশনাল সুবিধার জন্য নিরাপত্তা ত্যাগ করার একটি সর্বোত্তম উদাহরণ।

JEA কঠোরভাবে প্রয়োগ করে এই দ্বিধা সমাধান করে ন্যূনতম সুযোগ-সুবিধার নীতিDNS অ্যাডমিনিস্ট্রেটরদের ডোমেন অ্যাডমিনিস্ট্রেটর বানানোর পরিবর্তে, আপনি একটি ডেডিকেটেড DNS JEA এন্ডপয়েন্ট তৈরি করতে পারেন যা শুধুমাত্র ক্যাশে সাফ করার, পরিষেবা পুনরায় চালু করার, লগ পর্যালোচনা করার বা অনুরূপ কাজের জন্য প্রয়োজনীয় cmdlets প্রকাশ করে। এটি অপারেটরকে অ্যাক্টিভ ডিরেক্টরি পরীক্ষা না করে, ফাইল সিস্টেম নেভিগেট না করে, এলোমেলো স্ক্রিপ্ট চালানোর বা সম্ভাব্য বিপজ্জনক ইউটিলিটিগুলি চালানোর প্রয়োজন ছাড়াই তাদের কাজ সম্পাদন করতে দেয়।

যখন আপনি JEA সেশনগুলি ব্যবহারের জন্য কনফিগার করেন অস্থায়ী অনুমতি সহ ভার্চুয়াল অ্যাকাউন্টএই পদক্ষেপটি আরও আকর্ষণীয়: ব্যবহারকারী অপ্রয়োজনীয় শংসাপত্রের সাথে সংযোগ স্থাপন করে এবং সেই সেশন থেকে, এমন কাজগুলি সম্পাদন করতে পারে যার জন্য সাধারণত প্রশাসক অধিকারের প্রয়োজন হয়। এটি অনেক ব্যবহারকারীকে স্থানীয় বা ডোমেন প্রশাসক গোষ্ঠী থেকে অপসারণ করতে দেয়, আক্রমণ পৃষ্ঠকে উল্লেখযোগ্যভাবে শক্ত করার সময় ক্রিয়াকলাপ বজায় রাখে।

JEA-র ভিত্তি স্থাপনকারী নিরাপত্তা ধারণাগুলি

JEA শূন্য থেকে উদ্ভূত হয়নি: এটি বেশ কয়েকটি সুপ্রতিষ্ঠিত নিরাপত্তা নীতি এবং মডেলের উপর ভিত্তি করে তৈরি। যা এটিকে সুসংগতি এবং দৃঢ়তা দেয়। প্রথমটি হল সর্বনিম্ন বিশেষাধিকারের উপরোক্ত নীতি, যা নির্দেশ করে যে ব্যবহারকারী এবং প্রক্রিয়া উভয়েরই কেবল তাদের কার্যকারিতার জন্য প্রয়োজনীয় অনুমতি থাকা উচিত।

দ্বিতীয় প্রধান স্তম্ভ হল মডেল ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ (RBAC)JEA রোল ক্যাপাবিলিটি ফাইলের মাধ্যমে RBAC বাস্তবায়ন করে, যেখানে আপনি একটি নির্দিষ্ট ভূমিকা একটি দূরবর্তী সেশনের মধ্যে কী করতে পারে তা সংজ্ঞায়িত করেন। উদাহরণস্বরূপ, একটি হেল্পডেস্ক ভূমিকা পরিষেবাগুলি তালিকাভুক্ত করতে, ইভেন্টগুলি দেখতে এবং একটি নির্দিষ্ট পরিষেবা পুনরায় চালু করতে পারে, যখন একটি SQL সার্ভার প্রশাসন ভূমিকা শুধুমাত্র ... সম্পর্কিত cmdlets কার্যকর করতে পারে। ডাটাবেস এবং আরও কিছু।

La JEA এর কারিগরি ভিত্তি হল PowerShell এবং এর রিমোটিং অবকাঠামোপাওয়ারশেল ভাষা, cmdlets এবং দূরবর্তী যোগাযোগ স্তর (WinRM/WS-Management) প্রদান করে, এবং JEA এর উপরে সীমাবদ্ধ এন্ডপয়েন্ট, ভার্চুয়াল অ্যাকাউন্ট এবং কোন কমান্ডগুলি উপলব্ধ তার উপর গ্রানুলার নিয়ন্ত্রণের একটি সিস্টেম যুক্ত করে।

আরেকটি গুরুত্বপূর্ণ ধারণা হল সীমিত প্রশাসনঅনুরূপ, ক Windows 11 কিয়স্ক মোডে অ্যাসাইন করা অ্যাক্সেসকোনও অপারেটরকে সম্পূর্ণ শেল দেওয়ার পরিবর্তে, JEA এমন একটি সেশন তৈরি করে যেখানে স্ক্রিপ্টিং ভাষা সীমাবদ্ধ থাকে (ডিফল্টরূপে, NoLanguage), নতুন ফাংশন বা ভেরিয়েবল তৈরি ব্লক করা হয়, লুপ এবং কন্ডিশনাল নিষিদ্ধ করা হয় এবং শুধুমাত্র অনুমোদিত cmdlets সেট কার্যকর করার অনুমতি দেওয়া হয়। এটি আক্রমণকারীর সেই সেশনে অ্যাক্সেস পাওয়ার ক্ষমতাকে মারাত্মকভাবে সীমিত করে।

মূল উপাদান: .psrc এবং .pssc ফাইল

যেকোনো JEA স্থাপনার কেন্দ্রবিন্দুতে থাকে দুই ধরণের ফাইল: ভূমিকা ক্ষমতা ফাইল (.psrc) এবং সেশন কনফিগারেশন ফাইল (.pssc)একসাথে তারা একটি সাধারণ-উদ্দেশ্য শেলকে নির্দিষ্ট ব্যবহারকারীদের জন্য একটি নিখুঁতভাবে তৈরি এন্ডপয়েন্টে রূপান্তরিত করে।

একটি ভূমিকা ক্ষমতা ফাইলে আপনি সংজ্ঞায়িত করেন ভূমিকাটির জন্য ঠিক কোন কমান্ডগুলি উপলব্ধসবচেয়ে গুরুত্বপূর্ণ উপাদানগুলির মধ্যে রয়েছে:

• দৃশ্যমানCmdlets: অনুমোদিত cmdlets এর তালিকা, এমনকি প্যারামিটার সীমাবদ্ধ করতে সক্ষম।
• দৃশ্যমান ফাংশন: সেশনে লোড করা কাস্টম ফাংশন।
• দৃশ্যমান এক্সটার্নাল কমান্ড: অ্যাক্সেস করা নির্দিষ্ট বহিরাগত এক্সিকিউটেবল।
• দৃশ্যমান সরবরাহকারী: সেশনে দৃশ্যমান PowerShell প্রদানকারী (উদাহরণস্বরূপ, FileSystem বা Registry)।

অন্যদিকে, .pssc সেশন কনফিগারেশন ফাইলগুলি, তারা JEA-এর শেষবিন্দুকে এভাবে বর্ণনা করে এবং এটিকে ভূমিকার সাথে সংযুক্ত করে।নিম্নলিখিত উপাদানগুলি এখানে ঘোষণা করা হয়েছে:

• ভূমিকা সংজ্ঞা: ব্যবহারকারী বা নিরাপত্তা গোষ্ঠীগুলিকে ভূমিকার ক্ষমতার সাথে ম্যাপ করা।
• সেশন টাইপ: যেখানে 'RestrictedRemoteServer' সাধারণত সেশন শক্ত করার জন্য সেট করা থাকে।
• প্রতিলিপি নির্দেশিকা: ফোল্ডার যেখানে প্রতিটি সেশনের ট্রান্সক্রিপ্ট সংরক্ষণ করা হয়।
• RunAsVirtualAccount এবং সম্পর্কিত বিকল্পগুলি, যেমন ভার্চুয়াল অ্যাকাউন্টটি নির্দিষ্ট গ্রুপে যোগ করা হবে কিনা।

JEA রূপে বাস্তবায়িত হয় সিস্টেমে নিবন্ধিত PowerShell রিমোটিং এন্ডপয়েন্টগুলিএই এন্ডপয়েন্টগুলি cmdlets দিয়ে তৈরি এবং সক্রিয় করা হয় যেমন নতুন PSSessionConfigurationFile, রেজিস্টার-PSসেশন কনফিগারেশন অথবা JEA হেল্পার টুলের মতো গ্রাফিক্যাল টুল, যা সিনট্যাক্সের সাথে খুব বেশি ঝামেলা ছাড়াই .pssc এবং .psrc ফাইল তৈরি করা সহজ করে তোলে।

JEA সেশনের জীবনচক্র

একটি সম্পূর্ণ JEA পরিবেশ স্থাপন করার সময়, প্রক্রিয়াটি সাধারণত যৌক্তিক ধাপগুলির একটি সিরিজ অনুসরণ করে যা তারা একটি উন্মুক্ত রিমোটিং সিস্টেমকে কঠোরভাবে নিয়ন্ত্রিত সিস্টেমে রূপান্তরিত করে।সাধারণ ক্রমটি হল:

প্রথমত, আপনি একটি তৈরি করুন নিরাপত্তা গোষ্ঠী বা একাধিক গোষ্ঠী যেগুলো আপনার প্রতিনিধিত্বকারী ভূমিকাগুলি উপস্থাপন করে (যেমন, হেল্পডেস্কডিএনএস, ওয়েব অপারেটর, এসকিউএল অপারেটর)। গ্রুপ ব্যবহার বাধ্যতামূলক নয়, তবে পরিবেশ বৃদ্ধির সাথে সাথে এটি প্রশাসনকে অনেক সহজ করে তোলে।

তারপর, এক বা একাধিক প্রস্তুত করা হয় ভূমিকা ক্ষমতা ফাইল .psrc এই তালিকায় অনুমোদিত কর্মকাণ্ডের তালিকা দেওয়া আছে: cmdlets, ফাংশন, স্ক্রিপ্ট, বহিরাগত কমান্ড, উপনাম, প্রদানকারী এবং অতিরিক্ত বিধিনিষেধ (নির্দিষ্ট পরামিতি, অনুমোদিত পথ, ইত্যাদি)। উদাহরণস্বরূপ, এখানে আপনি Get- দিয়ে শুরু হওয়া সকল cmdlets-কে অনুমতি দিতে পারেন, Restart-Service-কে Spooler পরিষেবাতে সীমাবদ্ধ করতে পারেন এবং শুধুমাত্র FileSystem প্রদানকারীকে অনুমোদন করতে পারেন।

নিম্নলিখিতটি তৈরি করা হয়েছে সেশন কনফিগারেশন ফাইল .pssc New-PSsessionConfigurationFile ব্যবহার করে। এটি SessionType = RestrictedRemoteServer, TranscriptDirectory পাথ, ভার্চুয়াল অ্যাকাউন্ট ব্যবহার করা হবে কিনা এবং RoleDefinitions ব্লকের মতো বিকল্পগুলি সংজ্ঞায়িত করে যা ভূমিকা ক্ষমতার সাথে গ্রুপগুলিকে লিঙ্ক করে, উদাহরণস্বরূপ, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }।

.pssc ফাইলটি ইতিমধ্যেই প্রস্তুত থাকা অবস্থায়, এন্ডপয়েন্টটি ব্যবহার করে নিবন্ধিত হয় রেজিস্টার‑PSSessionConfiguration -নাম JEASession নাম -পথ পথ\File.psscসেই মুহূর্ত থেকে, যদি উপলব্ধ কনফিগারেশনগুলি Get-PSSessionConfiguration-এর সাথে তালিকাভুক্ত করা হয়, তাহলে নতুন সংযোগ বিন্দুটি সংযোগ গ্রহণের জন্য প্রস্তুত দেখাবে।

ব্যবহারকারীরা তাদের কম্পিউটার থেকে এই এন্ডপয়েন্টের সাথে সংযোগ স্থাপন করে PSSession -ComputerName Server -ConfigurationName JEASession Name লিখুন অথবা New-PSsession এবং তারপর Invoke-Command ব্যবহার করে। প্রবেশ করার পর, সেশনটি স্বয়ংক্রিয়ভাবে ব্যবহারকারীর সংশ্লিষ্ট ভূমিকা ক্ষমতায় সংজ্ঞায়িত বিধিনিষেধ প্রয়োগ করে।

অধিবেশন চলাকালীন, পাওয়ারশেল রিমোটিং এনক্রিপ্ট করা চ্যানেল সহ WinRM ব্যবহার করেইন্টিগ্রেটেড অথেনটিকেশন (সাধারণত ডোমেনে Kerberos) এবং পরিষেবার জন্য সংজ্ঞায়িত ফায়ারওয়াল নিয়ম। এর ভিত্তিতে, যদি RunAsVirtualAccount সক্রিয় করা হয়, তাহলে একটি অস্থায়ী ভার্চুয়াল অ্যাকাউন্ট তৈরি করা হয়, প্রয়োজনীয় গ্রুপগুলিতে যোগ করা হয় এবং সেশন শেষ হলে ধ্বংস করা হয়।

অবশেষে, JEA অধিবেশন শেষ করার পর, অডিট ট্রান্সক্রিপ্ট এবং ইভেন্টগুলি সংরক্ষণ করা হয় এই লগগুলি কার্যকর করা কমান্ড, ফলাফল এবং ব্যবহারকারীর প্রেক্ষাপটের একটি স্পষ্ট চিহ্ন রেখে যায়। এরপর সতর্কতা এবং আরও বিশ্লেষণের জন্য এগুলিকে একটি SIEM সিস্টেমে পাঠানো যেতে পারে বা এর মধ্যে সম্পর্কযুক্ত করা যেতে পারে।

পাওয়ারশেল রিমোটিং, অ্যাক্সেস নিয়ন্ত্রণ এবং শক্তকরণ

পাওয়ারশেল রিমোটিং, পরিষেবা দ্বারা সমর্থিত উইন্ডোজ রিমোট ম্যানেজমেন্ট (WinRM) WS-ম্যানেজমেন্ট প্রোটোকল দূরবর্তী কম্পিউটারে কমান্ড এবং স্ক্রিপ্টগুলির কেন্দ্রীভূত সম্পাদনের অনুমতি দেয়। এটি অটোমেশন, গণ সার্ভার ব্যবস্থাপনা, ডিবাগিং এবং দূরবর্তী সহায়তার জন্য একটি শক্তিশালী হাতিয়ার।

ডিফল্ট, স্থানীয় প্রশাসক এবং রিমোট ম্যানেজমেন্ট ব্যবহারকারী গোষ্ঠীর সদস্যরা তারা স্ট্যান্ডার্ড পাওয়ারশেল এন্ডপয়েন্ট ব্যবহার করতে পারে। অনেক পরিবেশে, এই ক্ষমতাটি অ-প্রশাসক ব্যবহারকারীদের দূরবর্তী কাজগুলি চালানোর অনুমতি দেওয়ার জন্য ব্যবহার করা হয়েছে, যা সহজাতভাবে বিপজ্জনক নয়, তবে যদি সঠিকভাবে নিয়ন্ত্রণ না করা হয়, তবে এটি অপব্যবহারের জন্য একটি উল্লেখযোগ্য পথ খুলে দেয়।

নিরাপত্তা ব্যবস্থা জোরদার করার জন্য, একটি সাধারণ কৌশলের মধ্যে রয়েছে শুধুমাত্র প্রশাসক অ্যাকাউন্টগুলিতে দূরবর্তী PowerShell অ্যাক্সেস সীমাবদ্ধ করুন। অথবা, আরও ভালো, সেই সীমাবদ্ধতাটিকে JEA এন্ডপয়েন্টের সাথে একত্রিত করুন যা নির্দিষ্ট ব্যবহারকারীদের কেবলমাত্র কঠোরভাবে প্রয়োজনীয় অ্যাক্সেস দেয়। এটি এর মাধ্যমে অর্জন করা যেতে পারে:

• GPO গুলি যা কোন গ্রুপগুলি WinRM এবং ডিফল্ট এন্ডপয়েন্ট ব্যবহার করতে পারে তা নির্ধারণ করে।
• ফায়ারওয়াল নিয়ম যা শুধুমাত্র সাবনেট বা ম্যানেজমেন্ট কম্পিউটার থেকে WinRM-কে অনুমতি দেয়।
• স্ট্যান্ডার্ড এন্ডপয়েন্টের ACL থেকে রিমোট ম্যানেজমেন্ট ব্যবহারকারীদের গ্রুপ অপসারণ করা হচ্ছে।

অতিরিক্তভাবে, আপনি বেছে নিতে পারেন প্রশাসকবিহীন ব্যবহারকারীদের জন্য PowerShell সম্পূর্ণরূপে ব্লক করুন অ্যাপলকারের মতো সমাধান ব্যবহার করে। এইভাবে, আপনি একজন স্ট্যান্ডার্ড ব্যবহারকারীকে স্থানীয়ভাবে ক্ষতিকারক স্ক্রিপ্ট চালানো থেকে বিরত রাখবেন, কিন্তু তবুও সুবিধাপ্রাপ্ত অ্যাকাউন্টগুলিকে পরিচালনা এবং অটোমেশন কাজের জন্য PowerShell ব্যবহার করার অনুমতি দেবেন।

JEA বনাম অন্যান্য PowerShell সীমাবদ্ধতা পদ্ধতি

PowerShell রিমোটিং ব্যবহার করে ব্যবহারকারীরা কী করতে পারেন তা সীমিত করার বিভিন্ন উপায় রয়েছে, এবং JEA একটি পাতলা এবং আরও নমনীয় বিকল্প হিসেবে উপযুক্ত। এমন একটি পরিসরের মধ্যে যেখানে বিস্তৃত পদ্ধতি অন্তর্ভুক্ত রয়েছে যেমন:

একদিকে, এর ব্যবহার ডিফল্ট পাওয়ারশেল এন্ডপয়েন্টে কে প্রবেশ করবে তা নিয়ন্ত্রণ করবে GPOমাইক্রোসফট পাওয়ারশেল শুধুমাত্র প্রশাসকদের জন্য সীমাবদ্ধ হতে পারে, এমনকি সকলের জন্য অনিবন্ধিতও হতে পারে, নির্দিষ্ট এন্ডপয়েন্ট ব্যবহার করতে বাধ্য করে। এটি "বর্বর বল" পদ্ধতিতে অ্যাক্সেস সীমাবদ্ধ করার জন্য কার্যকর, কিন্তু এটি গ্রানুলারিটি সমস্যার সমাধান করে না: যে কেউ অ্যাক্সেস পায় সে কার্যত যেকোনো কিছু করতে পারে।

অন্যদিকে, অ্যাপ্লিকেশন নিয়ন্ত্রণ সরঞ্জাম রয়েছে যেমন অ্যাপলকার বা সফ্টওয়্যার সীমাবদ্ধতা নীতিএই পদ্ধতিগুলি আপনাকে স্ট্যান্ডার্ড ব্যবহারকারীদের কাছে PowerShell.exe বা pwsh.exe কার্যকর করতে বাধা দিতে সাহায্য করে, পাথ, প্রকাশক, অথবা হ্যাশের মাধ্যমে। এই পদ্ধতিটি ওয়ার্কস্টেশনগুলিকে শক্ত করার জন্য এবং যেকোনো ব্যবহারকারীকে PowerShell চালু করা থেকে বিরত রাখার জন্য কার্যকর, কিন্তু যখন আপনি চান যে কেউ তাদের ব্যবহারকারী অ্যাকাউন্ট থেকে সীমিত প্রশাসনিক কাজ সম্পাদন করুক তখন এটি সীমাবদ্ধতা উপস্থাপন করে।

আরেকটি বিকল্প হ'ল সম্পূর্ণ JEA-তে পৌঁছানো ছাড়াই সীমাবদ্ধ শেষ বিন্দুআপনি কাস্টম সেশন কনফিগারেশন তৈরি করতে পারেন যা cmdlets, ফাংশন এবং মডিউলগুলিকে সীমাবদ্ধ করে, কিন্তু JEA-এর দেওয়া রোল মডেল, ভার্চুয়াল অ্যাকাউন্ট বা স্ট্রাকচার্ড RBAC-এর উপর খুব বেশি নির্ভর না করে। এটি সহজ পরিস্থিতির জন্য উপযুক্ত এক ধরণের মাঝারি ক্ষেত্র, কিন্তু বৃহৎ পরিবেশে কম স্কেলেবল।

JEA বিভিন্ন জগতের সেরাগুলোকে একত্রিত করে: কঠোর কমান্ড সীমাবদ্ধতা, RBAC, নিয়ন্ত্রিত উন্নত বিশেষাধিকার কার্যকরকরণ, এবং ব্যাপক লগিংএটি অ-প্রশাসকদের জন্য PowerShell রিমোটিং সক্ষম করার প্রয়োজন হলে এটিকে প্রস্তাবিত সমাধান করে তোলে, কিন্তু তাদের সম্পূর্ণ ব্যবস্থাপনা পরিবেশ না দিয়ে।

উন্নত বৈশিষ্ট্য: অন্য অ্যাকাউন্ট এবং লগ হিসাবে চালান

JEA-এর সবচেয়ে শক্তিশালী ক্ষমতাগুলির মধ্যে একটি হল আপনার শংসাপত্র প্রকাশ না করেই অন্য, আরও সুবিধাপ্রাপ্ত অ্যাকাউন্ট হিসাবে কমান্ডগুলি কার্যকর করুনএটি "আমি আপনাকে এই পরিষেবার জন্য পাসওয়ার্ড দেব যাতে আপনি X করতে পারেন" এই সাধারণ সমস্যার সমাধান করে, যা পরে কখনও পরিবর্তন করা হয় না এবং শেষ পর্যন্ত একটি বিশাল ঝুঁকি হয়ে দাঁড়ায়।

ডোমেন পরিস্থিতি সাধারণত ব্যবহৃত হয় গ্রুপ পরিচালিত পরিষেবা অ্যাকাউন্ট (gMSA) এটি JEA এন্ডপয়েন্টগুলিকে একটি কেন্দ্রীয়ভাবে পরিচালিত পরিষেবা পরিচয়ের অধীনে ক্রিয়া সম্পাদন করতে দেয়, স্বয়ংক্রিয় পাসওয়ার্ড ঘূর্ণন সহ এবং কোনও অপারেটর গোপনীয়তা না জেনে। অন্যান্য ক্ষেত্রে, মেশিনে স্থানীয়ভাবে অস্থায়ী ভার্চুয়াল অ্যাকাউন্টগুলি ব্যবহার করা হয়, ব্যবহারকারী সংযোগ করার সময় অ্যাডহক তৈরি করা হয় এবং সেশনের শেষে ধ্বংস করা হয়।

নিরীক্ষার দৃষ্টিকোণ থেকে, প্রতিটি JEA সেশন কনফিগার করা যেতে পারে PowerShell ট্রান্সক্রিপ্ট এবং সমৃদ্ধ ইভেন্ট লগ এন্ট্রি উভয়ই তৈরি করেসাধারণত সংগৃহীত তথ্যের মধ্যে রয়েছে:

• প্রবেশ করানো কমান্ড এবং পরামিতিগুলির সম্পূর্ণ ইতিহাস।
• আউটপুট তৈরি হয়েছে এবং ত্রুটি বার্তা।
• অধিবেশনের শুরু এবং শেষের টাইমস্ট্যাম্প, সেইসাথে এর সময়কাল।
• লগ-ইন করা ব্যবহারকারীর পরিচয় এবং নির্ধারিত ভূমিকা/ক্ষমতা।

যদি আপনি এই ট্রেসগুলিকে কার্যকারিতার সাথে একত্রিত করেন পাওয়ারশেল মডিউল লগিং এবং লিপি GPO এর মাধ্যমে লগিং ব্লক করুনএবং লগগুলি একটি SIEM-এ পাঠানোর মাধ্যমে, আপনি আপনার ব্যবস্থাপনার শেষ বিন্দুতে কী ঘটছে সে সম্পর্কে দৃঢ় দৃশ্যমানতা অর্জন করতে পারবেন। এটি সম্মতি (SOX অডিট, ISO 27001, ইত্যাদি) এবং ঘটনা সনাক্তকরণ এবং প্রতিক্রিয়া উভয়ের জন্যই অত্যন্ত গুরুত্বপূর্ণ।

বাস্তব-বিশ্বের পরিবেশে সাধারণ JEA ব্যবহারের ঘটনা

JEA বিশেষ করে যখন আপনার প্রয়োজন হয় তখনই জ্বলজ্বল করে প্রশাসক না হওয়া দলগুলোর উপর খুব নির্দিষ্ট কাজ অর্পণ করাবাস্তবে কিছু খুব সাধারণ উদাহরণ হল:

কারিগরি সহায়তা ক্ষেত্রে, আপনি শীর্ষ-স্তরের টেকনিশিয়ানদের দিতে পারেন JEA পরিষেবা পুনরায় চালু করার অ্যাক্সেস, ইভেন্ট লগ দেখুন এবং প্রক্রিয়ার স্থিতি পরীক্ষা করুন সার্ভারে, কিন্তু সফ্টওয়্যার ইনস্টল করার, গুরুত্বপূর্ণ কনফিগারেশন পরিবর্তন করার বা অ্যাক্টিভ ডিরেক্টরি অ্যাক্সেস করার ক্ষমতা ছাড়াই। একটি সাধারণ হেল্পডেস্ক ভূমিকায় cmdlets অন্তর্ভুক্ত থাকতে পারে যেমন Get-Service, নির্দিষ্ট পরিষেবার জন্য Restart-Service, Read-only মোডে Get-EventLog এবং কিছু নেটওয়ার্ক ডায়াগনস্টিক cmdlets।

অপারেশন বা ডেভেলপমেন্ট টিমে, আপনি কনফিগার করতে পারেন IIS প্রশাসন বা ওয়েবসাইট রক্ষণাবেক্ষণের মতো নির্দিষ্ট কাজের উপর দৃষ্টি নিবদ্ধ করা ভূমিকাউদাহরণস্বরূপ, অ্যাপ্লিকেশন পুল পরিচালনার cmdlets, ওয়েবসাইট পুনঃসূচনা, সীমিত ডিরেক্টরি থেকে লগ অনুসন্ধান এবং নির্দিষ্ট পরিষেবার জন্য সার্টিফিকেট ব্যবস্থাপনা অ্যাক্সেসের অনুমতি দেওয়া, একই সাথে সম্পূর্ণ সার্ভার পুনরায় চালু করার বা সুরক্ষা নীতি পরিবর্তন করার কোনও ক্ষমতা বাদ দেওয়া।

হাইব্রিড এবং ক্লাউড পরিবেশে, JEA প্রায়শই ব্যবহৃত হয় প্রতিটি দল কী করতে পারে তা সীমিত করুন ভার্চুয়াল মেশিন, স্টোরেজ বা নেটওয়ার্কআপনি এমন এন্ডপয়েন্টগুলি প্রকাশ করতে পারেন যা আপনাকে শুধুমাত্র একটি বিভাগের ভিএম পরিচালনা করতে, একটি নির্দিষ্ট বিভাগের ফায়ারওয়াল নিয়ম পরিবর্তন করতে, অথবা পরিষেবা অ্যাকাউন্টগুলির একটি নির্দিষ্ট সেট পরিচালনা করতে দেয়, বাকি অবকাঠামো থেকে অ্যাক্সেস আলাদা রাখে।

একই সময়ে, JEA খুব ভালোভাবে ফিট করে প্রিভিলেজড অ্যাক্সেস ম্যানেজমেন্ট (PAM) কৌশলযেখানে বিশেষাধিকারপ্রাপ্ত সেশনগুলি অস্থায়ীভাবে মঞ্জুর করা হয়, লগ করা হয় এবং ব্যক্তিগত পরিচয়ের সাথে সম্পর্কিত করা হয়, ভাগ করা অ্যাকাউন্টগুলি এড়িয়ে যাওয়া হয় এবং প্রতিটি বিশেষাধিকারপ্রাপ্ত কর্মের সাথে সম্পর্কিত ঝুঁকি হ্রাস করা হয়।

সম্পর্কিত নিবন্ধ:

ধাপে ধাপে উইন্ডোজে শেয়ার্ড ফোল্ডারে অ্যাক্সেস কীভাবে সীমিত করবেন

ইসহাক

সাধারণভাবে বাইট এবং প্রযুক্তির বিশ্ব সম্পর্কে উত্সাহী লেখক। আমি লেখার মাধ্যমে আমার জ্ঞান ভাগ করে নিতে পছন্দ করি, এবং আমি এই ব্লগে এটিই করব, আপনাকে গ্যাজেট, সফ্টওয়্যার, হার্ডওয়্যার, প্রযুক্তিগত প্রবণতা এবং আরও অনেক কিছু সম্পর্কে সবচেয়ে আকর্ষণীয় জিনিস দেখাব৷ আমার লক্ষ্য হল আপনাকে একটি সহজ এবং বিনোদনমূলক উপায়ে ডিজিটাল বিশ্বে নেভিগেট করতে সাহায্য করা।