- JEA rakendab vähima privileegi põhimõtet PowerShell kaugjuurdepääsu, vähendades kõrgendatud õigustega kontode arvu ja piirates iga rolli jaoks saadaolevaid cmdlette.
- .psrc ja .pssc failide kombinatsioon võimaldab teil määratleda rollivõimalused, piiratud lõpp-punktid, virtuaalsed kontod ja üksikasjalikud ärakirjad täieliku auditi jaoks.
- Võrreldes selliste lähenemisviisidega nagu GPO, AppLocker või üldised lõpp-punktid, pakub JEA palju detailsemat kontrolli ja robustset RBAC-mudelit ülesannete delegeerimiseks ilma privilegeeritud volitusi avaldamata.
- Selle korrektne rakendamine nõuab hoolikat rollide kujundamist, testimist ja pidevat hooldust, kuid see annab olulise tõuke turvalisusele ilma tootlikkust ohverdamata.
PowerShelli kaugjuhtimise kasutamine on muutunud peaaegu hädavajalikuks igas keskkonnas Windows Moodne, aga kaugjuurdepääsu andmine ilma kontrollita on nagu andmekeskuse võtmete lauale jätmine. Siin tulebki mängu mäng. Just-Enough-Administration (JEA), turvakiht, mis võimaldab teil ülesandeid delegeerida ilma administraatori õigusi vasakule ja paremale andmata.
JEA abil saate seadistada väga piiratud hulgal kaugpöörduspunkte, kus ainult teatud kasutajad seda käitavad. käsud mille olete autoriseerinud suuremate õigustega kontode all, aga teadmata tegelikke volitusi või suutmata stsenaariumist kõrvale kaldudaJa kõik see jäädvustati transkriptidesse ja logisid detailsed, mis võimaldavad teil seejärel kontrollida, kes mida, millal ja kust on teinud.
Mis on just-piisav-haldus (JEA) ja miks see on oluline?
Just-Enough-Administratsioon on PowerShelli-põhine turvatehnoloogia. mis rakendab delegeeritud haldusmudelit minimaalsete vajalike õigustega. Praktikas võimaldab JEA teil avada kaug-lõpp-punkte, kus on saadaval ainult teie määratletud cmdlettide, funktsioonide, skriptide ja väliste käskude suletud komplekt.
Tänu sellele lähenemisviisile saate vähendage drastiliselt kõrgendatud õigustega kontode arvu Oma serverites saate kasutada virtuaalkontosid või grupi hallatavaid teenusekontosid (gMSA-sid), mis täidavad tavakasutajate nimel privilegeeritud toiminguid. Kasutaja logib sisse oma tavapäraste volitustega ja käivitab JEA-seansi kaudu käske, mida täidetakse taustal kõrgemate õigustega.
JEA teine oluline tugisammas on võime täpselt määratleda, mida iga roll teha saabRollivõimete failid määravad, millised cmdlet-käsud, kohandatud funktsioonid, välised käsud või PowerShelli pakkujad on nähtavad. Ülejäänu kasutaja jaoks lihtsalt ei eksisteeri: nad ei saa skripte improviseerida, failisüsteemis vabalt navigeerida ega juurde pääseda teenustele või protsessidele, mida te pole määranud.
Lisaks saab kõiki JEA seansse konfigureerida genereerima täielikud ärakirjad ja auditisündmusedKäskude, parameetrite, väljundite, vigade, kasutaja identiteedi ja täitmisaegade jäädvustamine mitte ainult ei aita täita regulatiivseid nõudeid, vaid on hindamatu väärtusega ka turvaintsidendi või operatsioonilise rikke uurimisel.
Privilegeeritud kontode riskid ja kuidas JEA neid leevendab
Kõrgendatud õigustega kohalikud, domeeni- või rakenduse administraatori kontod viitavad üks tõsisemaid riskitegureid igas organisatsioonisKui ründaja saab ühe neist volitustest, saab ta võrgus liikuda, õigusi laiendada ning pääseda ligi kriitilistele andmetele ja võtmeteenustele või isegi terveid süsteeme sulgeda.
Privileegide eemaldamine ei ole alati lihtne. Klassikaline näide on see, et server, mis majutab nii DNS-i kui ka Active Directory domeenikontrolleritDNS-meeskond vajab DNS-teenuse probleemide tõrkeotsinguks kohaliku administraatori õigusi, kuid nende lisamine domeeniadministraatorite gruppi annab neile sisuliselt kontrolli kogu metsa üle ja juurdepääsu kõigile selle masina ressurssidele. See on klassikaline näide turvalisuse ohverdamisest töömugavuse nimel.
JEA lahendab selle dilemma, rakendades rangelt vähima privileegi põhimõteDNS-administraatorite domeeniadministraatoriteks muutmise asemel saate luua spetsiaalse DNS-i JEA-lõpp-punkti, mis avaldab ainult vahemälu tühjendamiseks, teenuse taaskäivitamiseks, logide ülevaatamiseks või sarnaste toimingute jaoks vajalikud cmdlet-id. See võimaldab operaatoril oma tööd teha ilma Active Directoryt uurimata, failisüsteemis navigeerimata, juhuslikke skripte käivitamata või potentsiaalselt ohtlikke utiliite käivitamata.
Kui konfigureerite JEA seansid kasutama ajutiste lubadega virtuaalsed kontodSee samm on veelgi huvitavam: kasutaja loob ühenduse privilegeerimata volitustega ja saab sellest seansist käivitada ülesandeid, mis tavaliselt nõuavad administraatori õigusi. See võimaldab paljusid kasutajaid kohalikest või domeeni administraatorite gruppidest eemaldada, säilitades toimingud ja tugevdades samal ajal oluliselt rünnakupinda.
JEA aluseks olevad turvakontseptsioonid
JEA ei tekkinud eimillestki: See põhineb mitmel väljakujunenud turvaprintsiibil ja -mudelil. mis annavad sellele sidususe ja robustsuse. Esimene on eelmainitud vähimate privileegide põhimõte, mis sätestab, et nii kasutajatel kui ka protsessidel peaksid olema ainult nende funktsioonide jaoks hädavajalikud õigused.
Teine oluline sammas on mudel Rollipõhine juurdepääsukontroll (RBAC)JEA rakendab RBAC-i rollivõimete failide kaudu, kus saate määratleda, mida konkreetne roll saab kaugseansi ajal teha. Näiteks saab abiteenistuse roll loetleda teenuseid, vaadata sündmusi ja taaskäivitada konkreetse teenuse, samas kui SQL Serveri administraatori roll saab käivitada ainult cmdlett-käske, mis on seotud... andmebaasid ja natuke veel.
La JEA tehniline alus on PowerShell ja selle kaugtöö infrastruktuurPowerShell pakub keelt, cmdlette ja kaugside kihti (WinRM/WS-Management) ning JEA lisab lisaks piiratud lõpp-punktide, virtuaalsete kontode ja saadaolevate käskude detailse kontrolli süsteemi.
Teine oluline mõiste on piiratud haldus, sarnane a Määratud juurdepääs Windows 11 kioskirežiimisSelle asemel, et anda operaatorile täielik shell, loob JEA seansi, kus skriptimiskeel on piiratud (vaikimisi NoLanguage), uute funktsioonide või muutujate loomine on blokeeritud, tsüklid ja tingimuslikud käsud on keelatud ning lubatud on käivitada ainult kinnitatud cmdlettide komplekt. See piirab oluliselt ründaja võimalusi, kui tal õnnestub sellele seansile juurde pääseda.
Põhikomponendid: .psrc ja .pssc failid
Iga JEA juurutuse keskmes on kahte tüüpi faile: rollivõimaluste failid (.psrc) ja seansi konfiguratsioonifailid (.pssc)Koos muudavad nad üldotstarbelise kesta ideaalselt kohandatud lõpp-punktiks konkreetsetele kasutajatele.
Rollivõimete failis defineerite täpselt, millised käsud on rollile saadavalKõige olulisemate elementide hulgas on:
- Nähtavad cmdletid: lubatud cmdlettide loend, isegi parameetrite piiramise võimalus.
- Nähtavad funktsioonid: seansis laaditavad kohandatud funktsioonid.
- NähtavadVälisedKäsklused: konkreetsed välised käivitatavad failid, millele juurde pääsetakse.
- NähtavadPakkujad: seansis nähtavad PowerShelli pakkujad (näiteks FileSystem või Register).
.pssc seansi konfiguratsioonifailid seevastu Nad kirjeldavad JEA lõpp-punkti sellisena ja seovad selle rollidega.Siin deklareeritakse selliseid elemente nagu järgmised:
- Rollide definitsioonid: kasutajate või turberühmade kaardistamine rollivõimalustega.
- Seansi tüüp: kus 'RestrictedRemoteServer' on tavaliselt seatud seansi karmistamiseks.
- Ärakirjade kataloog: kaust, kuhu salvestatakse iga seansi transkriptid.
- Käivita virtuaalse kontona ja seotud valikud, näiteks kas virtuaalne konto lisatakse konkreetsetesse gruppidesse.
JEA realiseerub kujul Süsteemis registreeritud PowerShelli kaugtöö lõpp-punktidNeed lõpp-punktid luuakse ja lubatakse cmdlettide abil, näiteks Uus PSSessionConfigurationFile, Registri PSSessionConfiguration või graafilised tööriistad nagu JEA Helper Tool, mis lihtsustab .pssc ja .psrc failide genereerimist ilma süntaksiga nii palju vaeva nägemata.
JEA seansi elutsükkel
Täieliku JEA-keskkonna seadistamisel järgib protsess tavaliselt loogiliste sammude jada, mis Nad muudavad avatud kaugtöösüsteemi rangelt reguleeritud süsteemiks.Tüüpiline järjestus on:
Esiteks loote a turvarühm või mitu rühma mis esindavad rolle, mida soovite delegeerida (näiteks HelpdeskDNS, veebioperaatorid, SQL-operaatorid). Gruppide kasutamine pole kohustuslik, kuid see muudab haldamise keskkonna kasvades palju lihtsamaks.
Seejärel valmistatakse ette üks või mitu rollivõimete failid .psrc Need loetlevad lubatud toimingud: cmdlet-käsud, funktsioonid, skriptid, välised käsud, varjunimed, pakkujad ja täiendavad piirangud (teatud parameetrid, lubatud teed jne). Näiteks saate siin lubada kõik cmdlet-käsud, mis algavad Get--ga, piirata Restart-Service'i spuuleriteenusega ja autoriseerida ainult failisüsteemi pakkuja.
Genereeritakse järgmine seansi konfiguratsioonifail .pssc kasutades New-PSSessionConfigurationFile. See määratleb sellised valikud nagu SessionType = RestrictedRemoteServer, TranscriptDirectory tee, kas kasutatakse virtuaalkontosid ja RoleDefinitions plokk, mis seob rühmad rollivõimalustega, näiteks 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
Kui .pssc-fail on juba ette valmistatud, registreeritakse lõpp-punkt, kasutades Register-PSSessionConfiguration -Name JEASession Name -Path Path\File.psscSellest hetkest alates, kui saadaolevad konfiguratsioonid on Get-PSSessionConfiguration abil loetletud, kuvatakse uus ühenduspunkt ühenduste vastuvõtmiseks valmis.
Kasutajad loovad selle lõpp-punktiga ühenduse oma arvutitest, kasutades Sisestage PSSession -ComputerName Server -ConfigurationName JEASession Name või käsuga New-PSSession ja seejärel käsuga Invoke-Command. Seansi sisenemisel rakendab see automaatselt kasutajaga seotud rollivõimalustes määratletud piiranguid.
Seansi ajal, PowerShelli kaugjuurdepääs kasutab WinRM-i krüptitud kanalitegaIntegreeritud autentimine (tavaliselt domeenis Kerberos) ja teenuse jaoks määratletud tulemüürireeglid. Selle aluseks on ajutine virtuaalkonto, mis lisatakse vajalikesse rühmadesse ja hävitatakse seansi lõppedes, kui RunAsVirtualAccount on lubatud.
Lõpuks, JEA istungi lõppedes, Auditi transkriptid ja sündmused salvestatakse Need logid jätavad selge jälje täidetud käskudest, tulemustest ja kasutaja kontekstist. Seejärel saab need saata SIEM-süsteemi või korreleerida seal hoiatuste ja edasise analüüsi jaoks.
PowerShelli kaugjuurdepääsu kontroll, juurdepääsu kontroll ja turvalisuse tugevdamine
PowerShelli kaugjuurdepääs, teenuse tugi Windowsi kaughaldus (WinRM) WS-Management protokoll võimaldab käskude ja skriptide tsentraliseeritud käivitamist kaugarvutites. See on võimas tööriist automatiseerimiseks, massserveri haldamiseks, veaotsinguks ja kaugtoe pakkumiseks.
Vaikimisi kohalikud administraatorid ja kaughalduse kasutajate rühma liikmed Nad saavad kasutada standardseid PowerShelli lõpp-punkte. Paljudes keskkondades on seda võimalust kasutatud selleks, et lubada mitte-administraatoritel kaugülesandeid käivitada, mis pole küll oma olemuselt ohtlik, kuid kui seda korralikult ei kontrollita, avab see olulise tee kuritarvitusteks.
Turvalisuse tugevdamiseks hõlmab ühine strateegia järgmist: Piira PowerShelli kaugjuurdepääsu ainult administraatori kontodele. Või veel parem, kombineerige see piirang JEA lõpp-punktidega, mis annavad teatud kasutajatele ainult rangelt vajaliku juurdepääsu. Seda saab saavutada järgmiselt:
- GPO-d, mis määravad, millised rühmad saavad WinRM-i kasutada, ja vaike-lõpp-punktid.
- Tulemüürireeglid, mis lubavad WinRM-i ainult alamvõrkudest või haldusarvutitest.
- Kaughalduse kasutajate rühma eemaldamine standardsete lõpp-punktide ACL-idest.
Lisaks saate valida, kas Blokeeri PowerShell täielikult mitte-administraatoritele kasutades selliseid lahendusi nagu AppLocker. Nii takistate tavakasutajal pahatahtlike skriptide lokaalset käitamist, kuid lubate siiski privilegeeritud kontodel PowerShelli kasutada haldus- ja automatiseerimisülesannete jaoks.
JEA versus teised PowerShelli piirangumeetodid
PowerShelli kaugjuurdepääsu piiramiseks on mitu võimalust. JEA sobib õhema ja paindlikuma variandina vahemikus, mis hõlmab laiemaid lähenemisviise, näiteks:
Ühelt poolt, kasutamine GPO, et kontrollida, kes siseneb PowerShelli vaike-lõpp-punktidesseMicrosoft PowerShelli saab piirata administraatoritele või isegi kõigi registreeringu tühistada, sundides kasutama teatud lõpp-punkte. See on kasulik juurdepääsu piiramiseks "jõuvõitlusel", kuid see ei lahenda detailsuse probleemi: igaüks, kes juurdepääsu saab, saab teha praktiliselt kõike.
Teisest küljest on olemas rakenduste juhtimise tööriistu, näiteks AppLockeri või tarkvarapiirangute poliitikadNeed meetodid võimaldavad teil keelata PowerShell.exe või pwsh.exe käivitamise tavakasutajatele kas tee, avaldaja või räsi abil. See lähenemisviis on kasulik tööjaamade tugevdamiseks ja PowerShelli käivitamise takistamiseks kõigil kasutajatel, kuid see tekitab piiranguid, kui soovite, et keegi täidaks oma kasutajakontolt piiratud administratiivseid ülesandeid.
Teine võimalus on Piiratud lõpp-punktid ilma täieliku JEA-ni jõudmataSaate luua kohandatud seansi konfiguratsioone, mis piiravad cmdlettide, funktsioonide ja moodulite kasutamist, kuid ilma et peaksite nii palju tuginema JEA pakutavale eeskujule, virtuaalsetele kontodele või struktureeritud RBAC-ile. See on omamoodi kesktee, mis sobib lihtsate stsenaariumide jaoks, kuid on suurtes keskkondades vähem skaleeritav.
JEA ühendab endas mitme maailma parimad küljed: range käskude piiramine, RBAC, kontrollitud kõrgendatud õiguste täitmine ja põhjalik logimineSee teeb sellest soovitatava lahenduse, kui peate lubama PowerShelli kaughalduse mitte-administraatoritele, andmata neile täielikku halduskeskkonda.
Lisafunktsioonid: käivita teise kontona ja logi
Üks JEA võimsamaid omadusi on Käivita käske teise, privilegeeritud kontona ilma oma volitusi avaldamataSee lahendab tüüpilise probleemi "ma annan sulle selle teenuse parooli, et saaksid X-i teha", mida seejärel kunagi ei muudeta ja mis osutub suureks riskiks.
Domeenistsenaariume kasutatakse tavaliselt Grupi hallatavad teenusekontod (gMSA) See võimaldab JEA lõpp-punktidel toiminguid teostada tsentraalselt hallatava teenuseidentiteedi all, automaatse paroolivahetusega ja ilma, et ükski operaator saladust teaks. Muudel juhtudel kasutatakse masinale lokaalseid ajutisi virtuaalkontosid, mis luuakse ad hoc kasutaja ühenduse loomisel ja hävitatakse seansi lõpus.
Auditi vaatenurgast saab iga JEA seanssi konfigureerida nii, et genereerida nii PowerShelli transkripte kui ka rikkalikke sündmuste logikirjeidTavaliselt kogutav teave hõlmab järgmist:
- Sisestatud käskude ja parameetrite täielik ajalugu.
- Genereeritud väljund ja veateated.
- Seansi alguse ja lõpu ajatempel ning kestus.
- Sisselogitud kasutaja identiteet ja määratud roll/võimekus.
Kui kombineerida need jäljed funktsionaalsustega PowerShelli moodulite logimine ja Script Blokeeri logimine rühmapoliitika objekti kauduJa logide saatmine SIEM-i annab teile usaldusväärse ülevaate sellest, mis teie halduspunktides toimub. See on kriitilise tähtsusega nii vastavuse (SOX-auditid, ISO 27001 jne) kui ka intsidentide tuvastamise ja neile reageerimise seisukohast.
Tüüpilised JEA kasutusjuhud reaalsetes keskkondades
JEA särab eriti siis, kui seda vaja on Väga spetsiifiliste ülesannete delegeerimine meeskondadele, kes ei tohiks olla administraatoridMõned väga levinud näited praktikas on järgmised:
Tehnilise toe valdkonnas saate pakkuda tipptasemel tehnikutele JEA juurdepääs teenuste taaskäivitamiseks, sündmuste logide vaatamiseks ja protsesside oleku kontrollimiseks serverites, kuid ilma tarkvara installimise, kriitiliste konfiguratsioonide muutmise või Active Directoryle juurdepääsu võimaluseta. Tüüpiline abiteenistuse roll võib hõlmata cmdlet-käske, näiteks Get-Service, Restart-Service konkreetsete teenuste jaoks, Get-EventLog kirjutuskaitstud režiimis ja mõningaid võrgudiagnostika cmdlet-käske.
Operatsioonide või arendusmeeskondades saate konfigureerida rollid, mis keskenduvad konkreetsetele ülesannetele, näiteks IIS-i administreerimine või veebisaidi hooldusNäiteks lubades juurdepääsu rakenduste kogumi halduse cmdlet-käskudele, veebisaitide taaskäivitamisele, piiratud kataloogi logide päringute tegemisele ja konkreetsete teenuste sertifikaatide haldamisele, välistades samal ajal kogu serveri taaskäivitamise või turvapoliitikate muutmise võimaluse.
Hübriid- ja pilvekeskkondades kasutatakse JEA-d sageli piirata iga meeskonna võimalusi virtuaalsed masinad, ladustamine või võrgudSaate avaldada lõpp-punkte, mis võimaldavad teil hallata ainult osakonna virtuaalmasinaid, muuta konkreetse segmendi tulemüürireegleid või hallata konkreetset teenusekontode komplekti, hoides juurdepääsu ülejäänud infrastruktuurist eraldi.
Samal ajal sobib JEA väga hästi kokku Privilegeeritud juurdepääsu haldamise (PAM) strateegiadkus privilegeeritud seansid antakse ajutiselt, logitakse ja omistatakse isikuandmetele, vältides jagatud kontosid ja minimeerides iga privilegeeritud toiminguga seotud riski.
Kirglik kirjanik baitide maailmast ja üldse tehnoloogiast. Mulle meeldib jagada oma teadmisi kirjutamise kaudu ja just seda ma selles ajaveebis teengi, näitan teile kõike kõige huvitavamat vidinate, tarkvara, riistvara, tehnoloogiliste suundumuste ja muu kohta. Minu eesmärk on aidata teil digimaailmas lihtsal ja meelelahutuslikul viisil navigeerida.