- JEA primjenjuje princip najmanjih privilegija u PowerShell udaljeni rad, smanjenje broja računa s povišenim privilegijama i ograničavanje cmdleta dostupnih za svaku ulogu.
- Kombinacija .psrc i .pssc datoteka vam omogućava da definišete mogućnosti uloga, ograničene krajnje tačke, virtuelne račune i detaljne transkripte za potpunu reviziju.
- U poređenju sa pristupima poput GPO-a, AppLocker-a ili generičkih krajnjih tačaka, JEA nudi mnogo detaljniju kontrolu i robustan RBAC model za delegiranje zadataka bez otkrivanja privilegovanih akreditiva.
- Njegova ispravna implementacija zahtijeva pažljivo dizajniranje uloga, testiranje i kontinuirano održavanje, ali pruža značajno poboljšanje sigurnosti bez žrtvovanja produktivnosti.
Korištenje PowerShell remotinga postalo je gotovo neophodno u bilo kojem okruženju. Windows Moderno, ali odobravanje udaljenog pristupa bez kontrole je kao ostavljanje ključeva od podatkovnog centra na stolu. Tu to dolazi do izražaja. Uprava za taman dovoljno (JEA), sloj sigurnosti koji vam omogućava delegiranje zadataka bez davanja administratorskih prava lijevo i desno.
Pomoću JEA možete postaviti vrlo ograničene udaljene pristupne tačke gdje određeni korisnici pokreću samo naredbe koje ste odobrili, pod računima s više privilegija, ali bez poznavanja stvarnih kvalifikacija ili mogućnosti odstupanja od scenarijaI sve je to zabilježeno u transkriptima i rezanje detaljne koji vam zatim omogućavaju da provjerite ko je šta uradio, kada i odakle.
Šta je administracija taman dovoljno (JEA) i zašto je važna?
Just-Enough-Administration je sigurnosna tehnologija zasnovana na PowerShellu. koji implementira delegirani model administracije s najmanjim potrebnim privilegijama. U praksi, JEA vam omogućava da izložite udaljene krajnje tačke gdje je dostupan samo zatvoreni skup cmdleta, funkcija, skripti i vanjskih naredbi koje ste vi definirali.
Zahvaljujući ovom pristupu, možete drastično smanjiti broj računa s povećanim privilegijama Na vašim serverima možete koristiti virtuelne račune ili grupno upravljane servisne račune (gMSA) koji izvršavaju privilegovane radnje u ime standardnih korisnika. Korisnik se prijavljuje sa svojim uobičajenim akreditivima i, putem JEA sesije, pokreće naredbe koje se izvršavaju iza kulisa sa višim privilegijama.
Još jedan ključni stub JEA je sposobnost da se precizno definisati šta svaka uloga može da radiDatoteke mogućnosti uloga definiraju koje su cmdlets, prilagođene funkcije, vanjske naredbe ili PowerShell provajderi vidljivi. Ostatak jednostavno ne postoji za korisnika: ne može improvizirati skripte, slobodno se kretati po datotečnom sistemu ili pristupati uslugama ili procesima koje niste naveli.
Nadalje, sve JEA sesije mogu biti konfigurisane za generisanje potpuni transkripti i događaji revizijeZabilježavanje komandi, parametara, izlaza, grešaka, identiteta korisnika i vremena izvršavanja ne samo da pomaže u ispunjavanju regulatornih zahtjeva, već je i neprocjenjivo prilikom istraživanja sigurnosnog incidenta ili operativnog kvara.
Rizici privilegovanih računa i kako ih JEA ublažava
Lokalni, domenski ili administratorski računi aplikacije s povišenim dozvolama podrazumijevaju jedan od najozbiljnijih vektora rizika u bilo kojoj organizacijiAko napadač dobije jedan od ovih akreditiva, može se kretati bočno kroz mrežu, povećavati privilegije i dobiti pristup kritičnim podacima, ključnim uslugama ili čak srušiti cijele sisteme.
Uklanjanje privilegija nije uvijek trivijalno. Klasičan primjer je onaj server koji hostira i DNS i kontroler domene Active DirectoryDNS timu su potrebne lokalne administratorske privilegije za rješavanje problema s DNS uslugom, ali dodavanje u grupu Domain Admins im efektivno daje kontrolu nad cijelom šumom i pristup bilo kojem resursu na toj mašini. Ovo je klasičan primjer žrtvovanja sigurnosti za operativnu praktičnost.
JEA rješava ovu dilemu striktnom primjenom princip najmanjih privilegijaUmjesto da DNS administratore postavite kao administratore domene, možete kreirati namjensku DNS JEA krajnju tačku koja izlaže samo cmdlete potrebne za brisanje keš memorije, ponovno pokretanje servisa, pregled logova ili slične zadatke. Ovo omogućava operateru da obavlja svoj posao bez potrebe za pregledom Active Directoryja, navigacijom kroz sistem datoteka, pokretanjem nasumičnih skripti ili izvršavanjem potencijalno opasnih uslužnih programa.
Kada konfigurirate JEA sesije za korištenje virtuelni računi sa privremenim dozvolamaOvaj potez je još zanimljiviji: korisnik se povezuje s neprivilegiranim pristupnim podacima i, iz te sesije, može izvršavati zadatke koji obično zahtijevaju administratorska prava. Ovo omogućava mnogim korisnicima da budu uklonjeni iz lokalnih ili domenskih administratorskih grupa, održavajući operacije uz značajno jačanje površine za napad.
Sigurnosni koncepti koji su temelj JEA-e
JEA nije nastala ni iz čega: Zasnovan je na nekoliko dobro utvrđenih sigurnosnih principa i modela. što mu daje koherentnost i robusnost. Prvi je prethodno spomenuti princip najmanjih privilegija, koji nalaže da i korisnici i procesi trebaju imati samo dozvole koje su neophodne za njihove funkcije.
Drugi glavni stub je model Kontrola pristupa zasnovana na ulogama (RBAC)JEA implementira RBAC putem datoteka mogućnosti uloga, gdje definirate šta određena uloga može raditi unutar udaljene sesije. Na primjer, uloga službe za korisnike može navesti usluge, pregledati događaje i ponovo pokrenuti određenu uslugu, dok uloga administratora SQL Servera može izvršavati samo cmdlete povezane sa... baze podataka i malo više.
La Tehnička osnova JEA-e je PowerShell i njegova infrastruktura za udaljeno upravljanje (remoting).PowerShell pruža jezik, cmdlets i sloj za udaljenu komunikaciju (WinRM/WS-Management), a JEA dodaje sistem ograničenih krajnjih tačaka, virtuelnih računa i granularnu kontrolu nad dostupnim komandama.
Još jedan važan koncept je ograničena administracija, slično a Dodijeljeni pristup u kiosk režimu za Windows 11Umjesto da operatoru pruži punu ljusku, JEA konstruira sesiju u kojoj je skriptni jezik ograničen (podrazumevano, NoLanguage), kreiranje novih funkcija ili varijabli je blokirano, petlje i uvjeti su zabranjeni, a dozvoljeno je izvršavanje samo odobrenog skupa cmdleta. Ovo ozbiljno ograničava mogućnosti napadača koji uspije dobiti pristup toj sesiji.
Ključne komponente: .psrc i .pssc datoteke
U srži svake JEA implementacije nalaze se dvije vrste datoteka: datoteke mogućnosti uloga (.psrc) i datoteke konfiguracije sesije (.pssc)Zajedno transformišu ljusku opšte namjene u savršeno prilagođenu krajnju tačku za specifične korisnike.
U datoteci mogućnosti uloge koju definirate tačno koje su komande dostupne toj uloziMeđu najvažnijim elementima su:
- VisibleCmdlets: lista dozvoljenih cmdleta, čak i mogućnost ograničavanja parametara.
- Vidljive funkcije: prilagođene funkcije koje se učitavaju u sesiji.
- VisibleExternalCommands: specifične vanjske izvršne datoteke kojima se pristupa.
- Vidljivi pružatelji uslugaPowerShell provajderi (na primjer, FileSystem ili Registry) vidljivi u sesiji.
S druge strane, .pssc konfiguracijske datoteke sesije, Oni opisuju JEA krajnju tačku kao takvu i povezuju je sa ulogama.Ovdje su deklarisani elementi kao što su sljedeći:
- Definicije uloga: mapiranje korisnika ili sigurnosnih grupa na mogućnosti uloga.
- SessionType: gdje je 'RestrictedRemoteServer' obično postavljeno za zaštitu sesije.
- TranscriptDirectory: mapa u kojoj se pohranjuju transkripti svake sesije.
- RunAsVirtualAccount i povezane opcije, kao što je da li se virtuelni račun dodaje određenim grupama.
JEA se materijalizuje u obliku PowerShell krajnje tačke za udaljeno upravljanje registrovane u sistemuOve krajnje tačke se kreiraju i omogućavaju pomoću cmdleta kao što su Nova datoteka konfiguracije sesije PSS, Konfiguracija sesije registra PSS ili grafičke alate poput JEA Helper Tool-a, koji olakšava generiranje .pssc i .psrc datoteka bez previše muke sa sintaksom.
Životni ciklus JEA sesije
Prilikom postavljanja kompletnog JEA okruženja, proces obično prati niz logičnih koraka koji Oni transformišu otvoreni sistem daljinskog upravljanja u strogo regulisani sistem.Tipičan redoslijed je:
Prvo kreirate a sigurnosna grupa ili nekoliko grupa koje predstavljaju uloge koje želite delegirati (na primjer, HelpdeskDNS, web operateri, SQL operateri). Korištenje grupa nije obavezno, ali znatno pojednostavljuje administraciju kako okruženje raste.
Zatim se pripremaju jedan ili više datoteke mogućnosti uloga .psrc Ovdje su navedene dozvoljene radnje: cmdleti, funkcije, skripte, vanjske naredbe, aliasi, provajderi i dodatna ograničenja (specifični parametri, dozvoljene putanje itd.). Ovdje, na primjer, možete dozvoliti sve cmdlete koji počinju sa Get-, ograničiti Restart-Service na uslugu Spooler i autorizirati samo provajdera FileSystem.
Sljedeće se generira datoteka za konfiguraciju sesije .pssc koristeći New-PSSessionConfigurationFile. Definira opcije kao što su SessionType = RestrictedRemoteServer, putanja TranscriptDirectory, da li se koriste virtualni računi i blok RoleDefinitions koji povezuje grupe s mogućnostima uloga, na primjer, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
Kada je .pssc datoteka već pripremljena, krajnja tačka se registruje pomoću Registar‑PSSessionConfiguration -Naziv JEASession Naziv -Putanja Putanja\Datoteka.psscOd tog trenutka nadalje, ako su dostupne konfiguracije navedene pomoću Get-PSSessionConfiguration, nova tačka povezivanja će se pojaviti spremna za primanje veza.
Korisnici se povezuju na ovu krajnju tačku sa svojih računara pomoću Enter‑PSSession -ComputerName Server -ConfigurationName JEASession Naziv ili sa New-PSSession, a zatim Invoke-Command. Po ulasku, sesija automatski primjenjuje ograničenja definirana u mogućnostima pridružene uloge korisnika.
Tokom sesije, PowerShell daljinsko upravljanje koristi WinRM sa šifriranim kanalimaIntegrisana autentifikacija (obično Kerberos u domenu) i pravila zaštitnog zida definirana za uslugu. U osnovi ovoga, ako je RunAsVirtualAccount omogućen, kreira se privremeni virtuelni račun, dodaje se potrebnim grupama i uništava kada se sesija završi.
Konačno, nakon zatvaranja sjednice JEA-e, Transkripti revizije i događaji se čuvaju Ovi zapisnici ostavljaju jasan trag izvršenih naredbi, rezultata i korisničkog konteksta. Zatim se mogu poslati ili povezati unutar SIEM sistema za upozorenja i daljnju analizu.
PowerShell daljinsko upravljanje, kontrola pristupa i osiguranje
PowerShell Remoting, podržan od strane servisa Udaljeno upravljanje Windowsom (WinRM) WS-Management protokol omogućava centralizirano izvršavanje naredbi i skripti na udaljenim računarima. To je moćan alat za automatizaciju, masovno upravljanje serverima, otklanjanje grešaka i udaljenu podršku.
Default, lokalni administratori i članovi grupe Korisnici udaljenog upravljanja Mogu koristiti standardne PowerShell krajnje tačke. U mnogim okruženjima, ova mogućnost je korištena kako bi se korisnicima koji nisu administratori omogućilo pokretanje udaljenih zadataka, što samo po sebi nije opasno, ali ako se ne kontroliše pravilno, otvara značajan put za zloupotrebu.
Da bi se ojačala sigurnosna pozicija, uobičajena strategija uključuje Ograničite udaljeni pristup PowerShellu samo na administratorske račune. Ili, još bolje, kombinujte to ograničenje sa JEA krajnjim tačkama koje određenim korisnicima daju samo strogo potreban pristup. To se može postići putem:
- GPO-ovi koji definiraju koje grupe mogu koristiti WinRM i zadane krajnje tačke.
- Pravila zaštitnog zida koja dozvoljavaju WinRM samo iz podmreža ili računara za upravljanje.
- Uklanjanje grupe Remote Management Users iz ACL-ova standardnih krajnjih tačaka.
Osim toga, možete odabrati da Potpuno blokirajte PowerShell za korisnike koji nisu administratori korištenjem rješenja poput AppLockera. Na ovaj način sprječavate standardnog korisnika da lokalno pokreće zlonamjerne skripte, ali i dalje dopuštate privilegiranim računima da koriste PowerShell za zadatke upravljanja i automatizacije.
JEA u odnosu na druge PowerShell metode ograničenja
Postoji nekoliko načina da se ograniči šta korisnici mogu da rade sa PowerShell daljinskim upravljanjem, i JEA je tanja i fleksibilnija opcija. unutar raspona koji uključuje šire pristupe kao što su:
S jedne strane, upotreba GPO za kontrolu ko ulazi u zadane PowerShell krajnje tačkeMicrosoft PowerShell može biti ograničen na administratore ili čak neregistriran za sve, prisiljavajući korištenje određenih krajnjih tačaka. Ovo je korisno za ograničavanje pristupa na "brute force" način, ali ne rješava problem granularnosti: ko god dobije pristup može učiniti praktično sve.
S druge strane, postoje alati za kontrolu aplikacija kao što su Pravila za AppLocker ili ograničenja softveraOve metode vam omogućavaju da standardnim korisnicima zabranite izvršavanje PowerShell.exe ili pwsh.exe, bilo putem putanje, izdavača ili heša. Ovaj pristup je koristan za zaštitu radnih stanica i sprečavanje bilo kojeg korisnika da pokrene PowerShell, ali predstavlja ograničenja kada želite da neko obavlja ograničene administrativne zadatke sa svog korisničkog računa.
Druga mogućnost su Ograničene krajnje tačke bez postizanja punog JEAMožete kreirati prilagođene konfiguracije sesija koje ograničavaju cmdlete, funkcije i module, ali bez prevelikog oslanjanja na model uloge, virtualne račune ili strukturirani RBAC koji JEA pruža. To je neka vrsta srednjeg rješenja pogodnog za jednostavne scenarije, ali manje skalabilnog u velikim okruženjima.
JEA kombinuje najbolje iz nekoliko svetova: strogo ograničenje komandi, RBAC, kontrolirano izvršavanje povišenih privilegija i sveobuhvatno evidentiranjeZbog toga je to preporučeno rješenje kada trebate omogućiti PowerShell udaljeno upravljanje za korisnike koji nisu administratori, ali bez pružanja potpunog okruženja za upravljanje.
Napredne funkcije: pokretanje kao drugi račun i prijavljivanje
Jedna od najmoćnijih mogućnosti JEA-e je izvršavajte naredbe kao drugi, privilegovaniji račun bez otkrivanja vaših podatakaOvo rješava tipičan problem "Dat ću ti lozinku za ovu uslugu da možeš uraditi X", koja se onda nikada ne mijenja i na kraju predstavlja ogroman rizik.
Scenariji domena se često koriste Grupni upravljani servisni računi (gMSA) Ovo omogućava JEA krajnjim tačkama da izvršavaju radnje pod centralno upravljanim identitetom servisa, s automatskom rotacijom lozinke i bez da bilo koji operater ikada sazna tajnu. U drugim slučajevima, koriste se privremeni virtuelni računi lokalni za mašinu, kreirani ad hoc kada se korisnik poveže i uništavani na kraju sesije.
Iz perspektive revizije, svaka JEA sesija može biti konfigurisana da generiranje i PowerShell transkripata i bogatih zapisa u dnevniku događajaInformacije koje se obično prikupljaju uključuju:
- Kompletna historija unesenih komandi i parametara.
- Generirani izlaz i poruke o grešci.
- Vremenska oznaka početka i kraja sesije, kao i njeno trajanje.
- Identitet prijavljenog korisnika i dodijeljena uloga/kapacitet.
Ako kombinujete ove tragove sa funkcionalnostima Zapisivanje i Script Blokiraj zapisivanje putem GPO-aSlanjem logova u SIEM sistem, dobijate robustan uvid u ono što se dešava na vašim upravljačkim krajnjim tačkama. Ovo je ključno i za usklađenost (SOX revizije, ISO 27001, itd.) i za otkrivanje i reagovanje na incidente.
Tipični slučajevi upotrebe JEA u stvarnim okruženjima
JEA blista posebno kada vam je potrebno Delegiranje vrlo specifičnih zadataka timovima koji ne bi trebali biti administratoriNeki vrlo uobičajeni primjeri u praksi su:
U području tehničke podrške, možete pružiti usluge vrhunskim tehničarima JEA pristup za ponovno pokretanje usluga, pregled zapisnika događaja i provjeru statusa procesa na serverima, ali bez mogućnosti instaliranja softvera, izmjene kritičnih konfiguracija ili pristupa Active Directoryju. Tipična uloga službe za korisnike može uključivati cmdlete kao što su Get-Service, Restart-Service za određene usluge, Get-EventLog u načinu rada samo za čitanje i neke cmdlete za dijagnostiku mreže.
U operacijskim ili razvojnim timovima možete konfigurirati uloge usmjerene na specifične zadatke kao što su administracija IIS-a ili održavanje web straniceNa primjer, omogućavanje pristupa cmdletima za upravljanje skupom aplikacija, ponovno pokretanje web stranica, ispitivanje logova iz ograničenog direktorija i upravljanje certifikatima za određene usluge, a isključivanje bilo kakve mogućnosti ponovnog pokretanja cijelog servera ili izmjene sigurnosnih politika.
U hibridnim i cloud okruženjima, JEA se često koristi za ograničiti šta svaki tim može uraditi u vezi virtualne mašine, skladištenje ili mrežeMožete otkriti krajnje tačke koje vam omogućavaju upravljanje samo virtuelnim mašinama jednog odeljenja, modifikovanje pravila zaštitnog zida određenog segmenta ili upravljanje određenim skupom servisnih naloga, držeći pristup odvojenim od ostatka infrastrukture.
Istovremeno, JEA se veoma dobro uklapa sa Strategije upravljanja privilegovanim pristupom (PAM)gdje se privilegovane sesije odobravaju privremeno, evidentiraju i pripisuju ličnim identitetima, izbjegavajući dijeljenje računa i minimizirajući rizik povezan sa svakom privilegovanom radnjom.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.