PowerShell-suojattu etäkäyttö Just-Enough-Administrationin (JEA) avulla

PowerShell-etäkäytön käytöstä on tullut lähes välttämätöntä missä tahansa ympäristössä Windows Moderni, mutta etäkäytön myöntäminen ilman kontrollia on kuin jättäisi datakeskuksen avaimet pöydälle. Tässä kohtaa peli astuu kuvaan. Just-Enough-Administration (JEA), suojauskerros, jonka avulla voit delegoida tehtäviä luovuttamatta järjestelmänvalvojan oikeuksia vasemmalle ja oikealle.

JEA:n avulla voit määrittää hyvin rajattuja etäkäyttöpisteitä, joissa vain tietyt käyttäjät suorittavat komennot jonka olet valtuuttanut, tileillä, joilla on enemmän oikeuksia, mutta tietämättä todellisia valtakirjoja tai kyvyttömyyttä poiketa käsikirjoituksestaJa kaikki tämä tallentui litterointeihin ja lokit yksityiskohtaisia, joiden avulla voit sitten tarkistaa, kuka on tehnyt mitä, milloin ja mistä.

Mitä on Just-Enough-Administration (JEA) ja miksi sillä on merkitystä?

Just-Enough-Administration on PowerShell-pohjainen tietoturvateknologia. joka toteuttaa delegoidun hallinnan mallin, jossa on mahdollisimman vähän oikeuksia. Käytännössä JEA antaa sinun paljastaa etäpäätepisteitä, joissa on käytettävissä vain suljettu joukko määrittämiäsi cmdlet-komentoja, funktioita, komentosarjoja ja ulkoisia komentoja.

Tämän lähestymistavan ansiosta voit vähennä merkittävästi korotettujen oikeuksien omaavien tilien määrää Palvelimillasi voit käyttää virtuaalitilejä tai ryhmähallittuja palvelutilejä (gMSA), jotka suorittavat etuoikeutettuja toimintoja vakiokäyttäjien puolesta. Käyttäjä kirjautuu sisään normaaleilla tunnistetiedoillaan ja käynnistää JEA-istunnon kautta komentoja, jotka suoritetaan taustalla korkeammilla oikeuksilla.

Toinen JEA:n keskeinen pilari on kyky määritellä tarkasti, mitä kukin rooli voi tehdäRooliominaisuustiedostot määrittävät, mitkä cmdletit, mukautetut funktiot, ulkoiset komennot tai PowerShell-palveluntarjoajat ovat näkyvissä. Loput eivät yksinkertaisesti ole käyttäjälle olemassa: he eivät voi improvisoida komentosarjoja, navigoida vapaasti tiedostojärjestelmässä tai käyttää palveluita tai prosesseja, joita et ole määrittänyt.

Lisäksi kaikki JEA-istunnot voidaan konfiguroida tuottamaan täydelliset opintosuoritusotteet ja auditointitapahtumatKomentojen, parametrien, tulosteiden, virheiden, käyttäjätunnusten ja suoritusaikojen tallentaminen ei ainoastaan ​​auta täyttämään sääntelyvaatimuksia, vaan se on myös korvaamatonta tietoturvahäiriön tai toiminnallisen vian tutkinnassa.

Etuoikeutettujen tilien riskit ja miten JEA lieventää niitä

Paikalliset, toimialueen tai sovelluksen järjestelmänvalvojan tilit, joilla on laajennetut käyttöoikeudet, tarkoittavat yksi vakavimmista riskitekijöistä missä tahansa organisaatiossaJos hyökkääjä saa haltuunsa jonkin näistä tunnistetiedoista, hän voi liikkua verkossa laajemmalle, laajentaa käyttöoikeuksia ja saada pääsyn kriittisiin tietoihin ja avainpalveluihin tai jopa sulkea kokonaisia ​​järjestelmiä.

Oikeuksien poistaminen ei ole aina yksinkertaista. Klassinen esimerkki on palvelin, joka isännöi sekä DNS:ää että Active Directory -toimialueen ohjauskonettaDNS-tiimi tarvitsee paikallisen järjestelmänvalvojan oikeudet DNS-palveluongelmien vianmääritykseen, mutta heidän lisäämisensä verkkotunnuksen järjestelmänvalvojat -ryhmään antaa heille käytännössä koko toimialuepuuryhmän hallinnan ja pääsyn kaikkiin kyseisen koneen resursseihin. Tämä on klassinen esimerkki turvallisuuden uhraamisesta toiminnan helppouden vuoksi.

JEA ratkaisee tämän ongelman soveltamalla tiukasti vähiten etuoikeuksien periaateSen sijaan, että DNS-järjestelmänvalvojista tehtäisiin toimialueen järjestelmänvalvojia, voit luoda erillisen DNS JEA -päätepisteen, joka paljastaa vain välimuistin tyhjentämiseen, palvelun uudelleenkäynnistykseen, lokien tarkasteluun ja vastaaviin tehtäviin tarvittavat cmdlet-komennot. Näin operaattori voi suorittaa työnsä ilman, että hänen tarvitsee tutkia Active Directorya, selata tiedostojärjestelmää, suorittaa satunnaisia ​​komentosarjoja tai suorittaa mahdollisesti vaarallisia apuohjelmia.

Kun määrität JEA-istuntoja käyttämään virtuaalitilit, joilla on väliaikaiset käyttöoikeudetTämä muutos on vieläkin mielenkiintoisempi: käyttäjä muodostaa yhteyden etuoikeuttamattomilla tunnistetiedoilla ja voi tästä istunnosta käsin suorittaa tehtäviä, jotka normaalisti vaativat järjestelmänvalvojan oikeudet. Tämä mahdollistaa useiden käyttäjien poistamisen paikallisista tai toimialueen järjestelmänvalvojaryhmistä, mikä ylläpitää toimintoja ja samalla vahvistaa hyökkäyspintaa merkittävästi.

JEA:n perustana olevat turvallisuuskonseptit

JEA ei syntynyt tyhjästä: Se perustuu useisiin vakiintuneisiin turvallisuusperiaatteisiin ja -malleihin. jotka antavat sille johdonmukaisuuden ja vankkuuden. Ensimmäinen on edellä mainittu pienimpien oikeuksien periaate, joka sanelee, että sekä käyttäjillä että prosesseilla tulisi olla vain niiden toimintojen kannalta välttämättömät käyttöoikeudet.

Toinen tärkeä pilari on malli, Roolipohjainen käyttöoikeuksien hallinta (RBAC)JEA toteuttaa RBAC:n rooliominaisuustiedostojen avulla, joissa määritetään, mitä tietty rooli voi tehdä etäistunnossa. Esimerkiksi tukipalvelun rooli voi listata palveluita, tarkastella tapahtumia ja käynnistää tietyn palvelun uudelleen, kun taas SQL Serverin järjestelmänvalvojan rooli voi suorittaa vain cmdlet-komentoja, jotka liittyvät... tietokannat ja vähän enemmän.

La JEA:n tekninen perusta on PowerShell ja sen etäkäyttöinfrastruktuuriPowerShell tarjoaa kielen, cmdlet-komennot ja etäviestintäkerroksen (WinRM/WS-Management), ja JEA lisää päälle rajoitettujen päätepisteiden, virtuaalitilien ja käytettävissä olevien komentojen tarkan hallinnan järjestelmän.

Toinen tärkeä käsite on rajoitettu hallinto, samanlainen kuin a määritetty käyttöoikeus Windows 11:n kioskitilassaSen sijaan, että operaattorille annettaisiin täysi komentotulkki, JEA rakentaa istunnon, jossa komentosarjakieli on rajoitettu (oletusarvoisesti NoLanguage), uusien funktioiden tai muuttujien luominen on estetty, silmukat ja ehdolliset lausekkeet on kielletty ja vain hyväksyttyjen cmdlet-komentojen suorittaminen on sallittua. Tämä rajoittaa merkittävästi hyökkääjän mahdollisuuksia päästä käsiksi kyseiseen istuntoon.

Keskeiset komponentit: .psrc- ja .pssc-tiedostot

Minkä tahansa JEA-käyttöönoton ytimessä on kahdenlaisia ​​tiedostoja: rooliominaisuustiedostot (.psrc) ja istunnon määritystiedostot (.pssc)Yhdessä ne muuttavat yleiskäyttöisen kuoren täydellisesti räätälöidyksi päätepisteeksi tietyille käyttäjille.

Rooliominaisuustiedostossa määrität tarkalleen mitkä komennot ovat roolin käytettävissäTärkeimpiä elementtejä ovat:

• Näkyvät komentojoukot: sallittujen cmdlet-komentojen luettelo, jopa parametrien rajoittaminen.
• Näkyvät toiminnot: istunnossa ladattavat mukautetut funktiot.
• NäkyvätUlkoisetKomennot: tietyt ulkoiset suoritettavat tiedostot, joita käytetään.
• NäkyvätTarjoajatPowerShell-palveluntarjoajat (esimerkiksi FileSystem tai Registry) näkyvät istunnossa.

.pssc-istunnon määritystiedostot taas Ne kuvaavat JEA-päätepisteen sellaisenaan ja linkittävät sen rooleihin.Tässä deklaroidaan esimerkiksi seuraavia elementtejä:

• Roolimääritelmät: käyttäjien tai käyttöoikeusryhmien yhdistäminen rooliominaisuuksiin.
• Istuntotyyppi: jossa 'RestrictedRemoteServer' on yleensä asetettu istunnon turvaamiseksi.
• Transkriptiohakemisto: kansio, johon kunkin istunnon transkriptiot tallennetaan.
• Suorita virtuaalitilinä ja siihen liittyvät asetukset, kuten lisätäänkö virtuaalitili tiettyihin ryhmiin.

JEA toteutuu muodossa Järjestelmään rekisteröidyt PowerShell-etäkäyttöpäätepisteetNämä päätepisteet luodaan ja otetaan käyttöön cmdlet-komennoilla, kuten Uusi PSSessionConfigurationFile, Rekisteri-PSSessionConfiguration tai graafisia työkaluja, kuten JEA Helper Tool, joka helpottaa .pssc- ja .psrc-tiedostojen luomista ilman, että syntaksin kanssa tarvitsee juurikaan vaivautua.

JEA-istunnon elinkaari

Täydellisen JEA-ympäristön perustamisessa prosessi seuraa yleensä sarjaa loogisia vaiheita, jotka Ne muuttavat avoimen etäkäyttöjärjestelmän tiukasti hallituksi järjestelmäksi.Tyypillinen järjestys on:

Ensin luot a suojausryhmä tai useita ryhmiä jotka edustavat rooleja, jotka haluat delegoida (esimerkiksi HelpdeskDNS, Web-operaattorit, SQL-operaattorit). Ryhmien käyttö ei ole pakollista, mutta se tekee hallinnasta paljon yksinkertaisempaa ympäristön kasvaessa.

Sitten valmistetaan yksi tai useampi rooliominaisuustiedostot .psrc Nämä listaavat sallitut toiminnot: cmdlet-komennot, funktiot, skriptit, ulkoiset komennot, aliakset, palveluntarjoajat ja lisärajoitukset (tietyt parametrit, sallitut polut jne.). Tässä voit esimerkiksi sallia kaikki Get--alkuiset cmdlet-komennot, rajoittaa Restart-Service-palvelun koskemaan taustatulostuspalvelua ja valtuuttaa vain FileSystem-palveluntarjoajan.

Seuraava generoidaan istunnon määritystiedosto .pssc käyttäen New-PSSessionConfigurationFile-metodia. Se määrittää asetukset, kuten SessionType = RestrictedRemoteServer, TranscriptDirectory-polun, käytetäänkö virtuaalitilejä ja RoleDefinitions-lohkon, joka linkittää ryhmät rooliominaisuuksiin, esimerkiksi 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.

Kun .pssc-tiedosto on jo valmisteltu, päätepiste rekisteröidään käyttämällä Register-PSSessionConfiguration -Nimi JEASession nimi -Polku Polku\Tiedosto.psscTästä hetkestä lähtien, jos käytettävissä olevat kokoonpanot on lueteltu Get-PSSessionConfiguration-metodilla, uusi yhteyspiste näkyy valmiina vastaanottamaan yhteyksiä.

Käyttäjät muodostavat yhteyden tähän päätepisteeseen tietokoneiltaan Enter‑PSSession -ComputerName Server -ConfigurationName JEASession Name tai käyttämällä ensin New-PSSession ja sitten Invoke-Command. Istuntoon siirtymisen jälkeen käyttäjän roolissa määritetyt rajoitukset otetaan automaattisesti käyttöön.

Istunnon aikana, PowerShell-etäkäyttö käyttää WinRM:ää salattujen kanavien kanssaIntegroitu todennus (yleensä Kerberos toimialueella) ja palvelulle määritetyt palomuurisäännöt. Tämän pohjalta luodaan väliaikainen virtuaalitili, jos RunAsVirtualAccount on käytössä, se lisätään tarvittaviin ryhmiin ja tuhotaan istunnon päättyessä.

Lopuksi, JEA-istunnon päätyttyä, Auditointiselvitykset ja tapahtumat tallennetaan Nämä lokit jättävät selkeän jäljen suoritetuista komennoista, tuloksista ja käyttäjäkontekstista. Ne voidaan sitten lähettää SIEM-järjestelmään tai korreloida sen sisällä hälytyksiä ja lisäanalyysiä varten.

PowerShell-etäkäyttö, käyttöoikeuksien hallinta ja suojauksen koventaminen

PowerShell-etäkäyttö, palvelun tukema Windowsin etähallinta (WinRM) WS-Management-protokolla mahdollistaa komentojen ja komentosarjojen keskitetyn suorittamisen etätietokoneilla. Se on tehokas työkalu automatisointiin, massapalvelinten hallintaan, virheenkorjaukseen ja etätukeen.

oletusarvoisesti paikalliset järjestelmänvalvojat ja etähallintakäyttäjien ryhmän jäsenet Ne voivat käyttää PowerShell-standardin mukaisia ​​päätepisteitä. Monissa ympäristöissä tätä ominaisuutta on käytetty sallimaan muiden kuin järjestelmänvalvojien suorittaa etätehtäviä, mikä ei ole luonnostaan ​​vaarallista, mutta jos sitä ei valvota asianmukaisesti, se avaa merkittävän mahdollisuuden väärinkäytöksille.

Turvallisuustilanteen vahvistamiseksi yleinen strategia sisältää Rajoita PowerShellin etäkäyttö vain järjestelmänvalvojan tileille. Tai vielä parempi, yhdistä tämä rajoitus JEA-päätepisteisiin, jotka antavat tietyille käyttäjille vain ehdottoman välttämättömän käyttöoikeuden. Tämä voidaan saavuttaa seuraavasti:

• Ryhmäkäytäntöobjektit, jotka määrittävät, mitkä ryhmät voivat käyttää WinRM:ää, ja oletusarvoiset päätepisteet.
• Palomuurisäännöt, jotka sallivat WinRM:n käytön vain aliverkoista tai hallintatietokoneista.
• Etähallinnan käyttäjät -ryhmän poistaminen vakiopäätepisteiden käyttöoikeusluetteloista.

Lisäksi voit valita Estä PowerShell kokonaan muilta kuin järjestelmänvalvojilta käyttämällä ratkaisuja, kuten AppLocker. Tällä tavoin estät vakiokäyttäjää suorittamasta haitallisia komentosarjoja paikallisesti, mutta annat silti käyttöoikeutettujen tilien käyttää PowerShelliä hallinta- ja automaatiotehtäviin.

JEA verrattuna muihin PowerShell-rajoitusmenetelmiin

PowerShell-etäkäytön käyttäjien mahdollisuuksia voidaan rajoittaa useilla tavoilla, ja JEA sopii ohuempana ja joustavampana vaihtoehtona alueella, joka sisältää laajempia lähestymistapoja, kuten:

Yhtäältä, käyttö Ryhmäkäytäntöobjekti, jolla hallitaan kuka syöttää PowerShellin oletuspäätepisteetMicrosoft PowerShellin käyttöoikeus voidaan rajoittaa vain järjestelmänvalvojille tai jopa poistaa kaikilta rekisteröinnistä, jolloin tiettyjen päätepisteiden käyttö on pakotettu. Tämä on hyödyllistä käyttöoikeuksien rajoittamiseksi "raa'alla voimalla", mutta se ei ratkaise tarkkuusongelmaa: kuka tahansa, joka saa käyttöoikeudet, voi tehdä käytännössä mitä tahansa.

Toisaalta on olemassa sovellusten hallintatyökaluja, kuten AppLocker- tai ohjelmistorajoituskäytännötNäiden menetelmien avulla voit estää PowerShell.exe- tai pwsh.exe-tiedostojen suorittamisen tavallisilta käyttäjiltä joko polun, julkaisijan tai tiivisteen perusteella. Tämä lähestymistapa on hyödyllinen työasemien suojaamiseksi ja käyttäjien PowerShellin käynnistämisen estämiseksi, mutta sillä on rajoituksia, kun haluat jonkun suorittavan rajoitettuja järjestelmänvalvojan tehtäviä käyttäjätililtään.

Toinen vaihtoehto on Rajoitetut päätepisteet ilman täyden JEA:n saavuttamistaVoit luoda mukautettuja istuntomäärityksiä, jotka rajoittavat cmdlettejä, funktioita ja moduuleja, mutta eivät ole yhtä riippuvaisia ​​JEA:n tarjoamasta roolimallista, virtuaalitileistä tai jäsennellystä RBAC:sta. Se on eräänlainen välimuoto, joka sopii yksinkertaisiin skenaarioihin, mutta on vähemmän skaalautuva suurissa ympäristöissä.

JEA yhdistää useiden maailmojen parhaat puolet: tiukka komentojen rajoitus, RBAC, hallittu laajennettujen oikeuksien suorittaminen ja kattava lokikirjausTämä tekee siitä suositellun ratkaisun, kun sinun on otettava PowerShell-etäkäyttö käyttöön muille kuin järjestelmänvalvojille, mutta antamatta heille täydellistä hallintaympäristöä.

Lisäominaisuudet: suorita toisena tilinä ja kirjaa

Yksi JEA:n tehokkaimmista ominaisuuksista on suorita komentoja toisena, etuoikeutetumpana tilinä paljastamatta tunnistetietojasiTämä ratkaisee tyypillisen ongelman "Annan sinulle tämän palvelun salasanan, jotta voit tehdä X:n", jota ei sitten koskaan muuteta ja josta tulee valtava riski.

Verkkotunnusskenaarioita käytetään yleisesti Ryhmän hallinnoimat palvelutilit (gMSA) Tämä sallii JEA-päätepisteiden suorittaa toimintoja keskitetysti hallitun palveluidentiteetin alla, automaattisella salasanan vaihdolla ja ilman, että kukaan operaattori koskaan tietää salaisuutta. Muissa tapauksissa käytetään koneelle paikallisia väliaikaisia ​​virtuaalitilejä, jotka luodaan ad hoc -periaatteella käyttäjän muodostaessa yhteyden ja tuhotaan istunnon lopussa.

Auditoinnin näkökulmasta jokainen JEA-istunto voidaan konfiguroida siten, että se luoda sekä PowerShell-transkriptejä että rikkaita tapahtumalokin merkintöjäTyypillisesti kerättyihin tietoihin kuuluvat:

• Syötettyjen komentojen ja parametrien täydellinen historia.
• Tuloste ja virheilmoitukset.
• Istunnon alun ja lopun aikaleima sekä sen kesto.
• Kirjautuneen käyttäjän henkilöllisyys ja hänelle määritetty rooli/valtuus.

Jos yhdistät nämä jäljet ​​seuraavien toimintojen kanssa: PowerShell-moduulien lokikirjaus ja Käsikirjoitus Estä lokikirjaus ryhmäkäytäntöobjektin kauttaJa lähettämällä lokit SIEM-järjestelmään saat vankan näkyvyyden siihen, mitä hallintapäätepisteissäsi tapahtuu. Tämä on kriittistä sekä vaatimustenmukaisuuden (SOX-auditoinnit, ISO 27001 jne.) että häiriöiden havaitsemisen ja niihin reagoinnin kannalta.

Tyypillisiä JEA-käyttötapauksia reaalimaailman ympäristöissä

JEA loistaa erityisesti silloin, kun sitä tarvitset Hyvin erityisten tehtävien delegointi tiimeille, joiden ei pitäisi olla järjestelmänvalvojiaJoitakin hyvin yleisiä esimerkkejä käytännössä ovat:

Teknisen tuen alueella voit antaa huipputason teknikkoille JEA-käyttöoikeus palveluiden uudelleenkäynnistykseen, tapahtumalokien tarkasteluun ja prosessien tilan tarkistamiseen palvelimilla, mutta ilman mahdollisuutta asentaa ohjelmistoja, muokata kriittisiä kokoonpanoja tai käyttää Active Directorya. Tyypillinen tukipalvelun rooli voi sisältää cmdlet-komentoja, kuten Get-Service, Restart-Service tietyille palveluille, Get-EventLog vain luku -tilassa ja joitakin verkon diagnostiikkacmdlet-komentoja.

Operatiivisissa tai kehitystiimeissä voit määrittää roolit, jotka keskittyvät tiettyihin tehtäviin, kuten IIS-hallintaan tai verkkosivuston ylläpitoonEsimerkiksi sallimalla pääsy sovelluspoolin hallintakomentoihin, verkkosivustojen uudelleenkäynnistyksiin, lokien kyselyyn rajoitetusta hakemistosta ja tiettyjen palveluiden varmenteiden hallintaan, mutta estämällä samalla koko palvelimen uudelleenkäynnistyksen tai suojauskäytäntöjen muokkaamisen.

Hybridi- ja pilviympäristöissä JEA:ta käytetään usein rajoittaa, mitä kukin joukkue voi tehdä virtuaalikoneet, varastointi tai verkkojaVoit paljastaa päätepisteitä, joiden avulla voit hallita vain osaston virtuaalikoneita, muokata tietyn segmentin palomuurisääntöjä tai hallita tiettyä palvelutilijoukkoa ja pitää käyttöoikeudet erillään muusta infrastruktuurista.

Samaan aikaan JEA sopii erittäin hyvin yhteen Etuoikeutettujen käyttöoikeuksien hallintastrategiat (PAM)jossa etuoikeutetut istunnot myönnetään väliaikaisesti, kirjataan ja liitetään henkilökohtaisiin identiteetteihin, välttäen jaettuja tilejä ja minimoiden kuhunkin etuoikeutettuun toimintoon liittyvän riskin.

Aiheeseen liittyvä artikkeli:

Jaettujen kansioiden käytön rajoittaminen Windowsissa vaihe vaiheelta

Isaac

Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.