- JEA primjenjuje načelo najmanjih privilegija u PowerShell udaljeni rad, smanjenje broja računa s povišenim privilegijama i ograničavanje cmdleta dostupnih za svaku ulogu.
- Kombinacija .psrc i .pssc datoteka omogućuje vam definiranje mogućnosti uloga, ograničenih krajnjih točaka, virtualnih računa i detaljnih transkripata za potpunu reviziju.
- U usporedbi s pristupima poput GPO-a, AppLockera ili generičkih krajnjih točaka, JEA nudi puno granularniju kontrolu i robustan RBAC model za delegiranje zadataka bez otkrivanja privilegiranih vjerodajnica.
- Njegova ispravna implementacija zahtijeva pažljivo dizajniranje uloga, testiranje i kontinuirano održavanje, ali pruža značajno poboljšanje sigurnosti bez žrtvovanja produktivnosti.
Korištenje PowerShell udaljenog rada postalo je gotovo neophodno u svakom okruženju. Windows Moderno, ali odobravanje udaljenog pristupa bez kontrole je kao ostavljanje ključeva podatkovnog centra na stolu. Tu igra dolazi do izražaja. Uprava s dovoljno sredstava (JEA), sloj sigurnosti koji vam omogućuje delegiranje zadataka bez davanja administratorskih prava lijevo i desno.
Pomoću JEA-e možete postaviti vrlo ograničene udaljene pristupne točke gdje određeni korisnici pokreću samo naredbe koje ste odobrili, pod računima s više privilegija, ali bez poznavanja stvarnih kvalifikacija ili mogućnosti odstupanja od scenarijaI sve je to zabilježeno u transkriptima i drva detaljne koji vam zatim omogućuju reviziju tko je što učinio, kada i odakle.
Što je administracija upravo dovoljnih sredstava (JEA) i zašto je važna?
Just-Enough-Administration je sigurnosna tehnologija temeljena na PowerShellu. koji implementira delegirani model administracije s najmanjim potrebnim privilegijama. U praksi, JEA vam omogućuje izlaganje udaljenih krajnjih točaka gdje je dostupan samo zatvoreni skup cmdleta, funkcija, skripti i vanjskih naredbi koje ste vi definirali.
Zahvaljujući ovom pristupu, možete drastično smanjiti broj računa s povećanim privilegijama Na svojim poslužiteljima možete koristiti virtualne račune ili grupno upravljane servisne račune (gMSA) koji izvršavaju privilegirane radnje u ime standardnih korisnika. Korisnik se prijavljuje sa svojim uobičajenim vjerodajnicama i putem JEA sesije pokreće naredbe koje se izvršavaju u pozadini s višim privilegijama.
Još jedan ključni stup JEA-e je sposobnost da se precizno definirati što svaka uloga može raditiDatoteke mogućnosti uloga definiraju koje su cmdlete, prilagođene funkcije, vanjske naredbe ili PowerShell pružatelji usluga vidljivi. Ostatak jednostavno ne postoji za korisnika: ne može improvizirati skripte, slobodno se kretati po datotečnom sustavu ili pristupati uslugama ili procesima koje niste naveli.
Nadalje, sve JEA sesije mogu se konfigurirati za generiranje potpuni transkripti i događaji revizijeBilježenje naredbi, parametara, izlaza, pogrešaka, identiteta korisnika i vremena izvršavanja ne samo da pomaže u ispunjavanju regulatornih zahtjeva, već je i neprocjenjivo prilikom istraživanja sigurnosnog incidenta ili operativnog kvara.
Rizici privilegiranih računa i kako ih JEA ublažava
Lokalni, domenski ili administratorski računi aplikacija s povišenim dozvolama podrazumijevaju jedan od najozbiljnijih vektora rizika u svakoj organizacijiAko napadač dobije jednu od ovih vjerodajnica, može se kretati lateralno kroz mrežu, eskalirati privilegije i dobiti pristup kritičnim podacima, ključnim uslugama ili čak srušiti cijele sustave.
Uklanjanje privilegija nije uvijek jednostavno. Klasičan primjer je onaj poslužitelj koji hostira i DNS i kontroler domene Active DirectoryDNS timu su potrebne lokalne administratorske privilegije za rješavanje problema s DNS uslugom, ali dodavanje u grupu Domain Admins im učinkovito daje kontrolu nad cijelom šumom i pristup bilo kojem resursu na tom računalu. Ovo je klasičan primjer žrtvovanja sigurnosti za operativnu praktičnost.
JEA rješava ovu dilemu strogom primjenom načelo najmanjih privilegijaUmjesto da DNS administratore postavite kao administratore domene, možete stvoriti namjensku DNS JEA krajnju točku koja izlaže samo cmdlete potrebne za brisanje predmemorije, ponovno pokretanje usluge, pregled zapisnika ili slične zadatke. To omogućuje operateru da obavlja svoj posao bez potrebe za pregledom Active Directoryja, navigacijom datotečnim sustavom, pokretanjem nasumičnih skripti ili izvršavanjem potencijalno opasnih uslužnih programa.
Kada konfigurirate JEA sesije za korištenje virtualni računi s privremenim dozvolamaTaj potez je još zanimljiviji: korisnik se povezuje s neprivilegiranim pristupnim podacima i iz te sesije može izvršavati zadatke koji inače zahtijevaju administratorska prava. To omogućuje uklanjanje mnogih korisnika iz lokalnih ili domenskih administratorskih grupa, održavajući operacije uz značajno jačanje površine za napad.
Sigurnosni koncepti koji podupiru JEA
JEA nije nastala ni iz čega: Temelji se na nekoliko dobro utvrđenih sigurnosnih načela i modela. što mu daje koherentnost i robusnost. Prvi je spomenuti princip najmanjih privilegija, koji nalaže da i korisnici i procesi trebaju imati samo dozvole koje su bitne za njihove funkcije.
Drugi glavni stup je model Kontrola pristupa temeljena na ulogama (RBAC)JEA implementira RBAC putem datoteka mogućnosti uloga, gdje definirate što određena uloga može učiniti unutar udaljene sesije. Na primjer, uloga službe za korisnike može navesti usluge, pregledati događaje i ponovno pokrenuti određenu uslugu, dok administratorska uloga SQL Servera može izvršavati samo cmdlete povezane s... baza podataka i malo više.
La Tehnička osnova JEA-e je PowerShell i njegova infrastruktura za udaljeno upravljanje.PowerShell pruža jezik, cmdlete i sloj udaljene komunikacije (WinRM/WS-Management), a JEA dodaje sustav ograničenih krajnjih točaka, virtualnih računa i granularnu kontrolu nad dostupnim naredbama.
Drugi važan koncept je ograničena uprava, slično a dodijeljeni pristup u načinu rada kioska sustava Windows 11Umjesto da operatoru pruži punu ljusku, JEA konstruira sesiju u kojoj je skriptni jezik ograničen (prema zadanim postavkama, NoLanguage), stvaranje novih funkcija ili varijabli je blokirano, petlje i uvjeti su zabranjeni, a dopušteno je izvršavanje samo odobrenog skupa cmdleta. To ozbiljno ograničava mogućnosti napadača koji uspije dobiti pristup toj sesiji.
Ključne komponente: .psrc i .pssc datoteke
U srži svake JEA implementacije nalaze se dvije vrste datoteka: datoteke mogućnosti uloga (.psrc) i datoteke konfiguracije sesije (.pssc)Zajedno transformiraju ljusku opće namjene u savršeno prilagođenu krajnju točku za određene korisnike.
U datoteci mogućnosti uloge koju definirate točno koje su naredbe dostupne toj uloziMeđu najvažnijim elementima su:
- VidljiviCmdleti: popis dopuštenih cmdleta, čak i mogućnost ograničavanja parametara.
- Vidljive funkcije: prilagođene funkcije koje se učitavaju u sesiji.
- Vidljive vanjske naredbe: specifične vanjske izvršne datoteke kojima se pristupa.
- Vidljivi pružatelji uslugaPowerShell pružatelji usluga (na primjer, FileSystem ili Registry) vidljivi u sesiji.
S druge strane, .pssc konfiguracijske datoteke sesije Oni opisuju JEA krajnju točku kao takvu i povezuju je s ulogama.Ovdje su deklarirani elementi poput sljedećih:
- Definicije uloga: mapiranje korisnika ili sigurnosnih grupa na mogućnosti uloga.
- Vrsta sesije: gdje je 'RestrictedRemoteServer' obično postavljeno za zaštitu sesije.
- Direktorij transkripta: mapa u kojoj se pohranjuju transkripti svake sesije.
- Pokreni kao virtualni račun i povezane opcije, kao što je dodavanje virtualnog računa određenim grupama.
JEA se materijalizira u obliku PowerShell krajnje točke za udaljeno upravljanje registrirane u sustavuOve krajnje točke se stvaraju i omogućavaju pomoću cmdleta kao što su Nova datoteka konfiguracije PSS sesije, Konfiguracija registra PSSesije ili grafičke alate poput JEA Helper Tool-a, koji olakšava generiranje .pssc i .psrc datoteka bez previše muke sa sintaksom.
Životni ciklus JEA sesije
Prilikom postavljanja kompletnog JEA okruženja, proces obično slijedi niz logičnih koraka koji Oni transformiraju otvoreni sustav rada na daljinu u strogo reguliran.Tipičan slijed je:
Prvo, kreirate a sigurnosna grupa ili nekoliko grupa koje predstavljaju uloge koje želite delegirati (na primjer, HelpdeskDNS, web operateri, SQL operateri). Korištenje grupa nije obavezno, ali znatno pojednostavljuje administraciju kako okruženje raste.
Zatim se priprema jedan ili više datoteke mogućnosti uloga .psrc Ovdje su navedene dopuštene radnje: cmdleti, funkcije, skripte, vanjske naredbe, aliasi, pružatelji usluga i dodatna ograničenja (specifični parametri, dopušteni putovi itd.). Ovdje, na primjer, možete dopustiti sve cmdlete koji počinju s Get-, ograničiti Restart-Service na uslugu Spooler i autorizirati samo pružatelja FileSystem.
Sljedeće se generira datoteka konfiguracije sesije .pssc pomoću New-PSSessionConfigurationFile. Definira opcije kao što su SessionType = RestrictedRemoteServer, putanja TranscriptDirectory, koriste li se virtualni računi i blok RoleDefinitions koji povezuje grupe s mogućnostima uloga, na primjer, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
S već pripremljenom .pssc datotekom, krajnja točka se registrira pomoću Registar‑PSSessionConfiguration -Naziv JEASession Naziv -Put Put\Datoteka.psscOd tog trenutka nadalje, ako su dostupne konfiguracije navedene s Get-PSSessionConfiguration, nova točka povezivanja će se pojaviti spremna za primanje veza.
Korisnici se povezuju s ovom krajnjom tačkom sa svojih računala pomoću Enter‑PSSession -ComputerName Server -ConfigurationName JEASession Naziv ili s New-PSSession, a zatim Invoke-Command. Prilikom ulaska, sesija automatski primjenjuje ograničenja definirana u mogućnosti pridružene uloge korisnika.
Tijekom sjednice, PowerShell daljinsko upravljanje koristi WinRM sa šifriranim kanalimaIntegrirana autentifikacija (obično Kerberos u domeni) i pravila vatrozida definirana za uslugu. U osnovi toga, ako je omogućen RunAsVirtualAccount, stvara se privremeni virtualni račun, dodaje se potrebnim grupama i uništava kada sesija završi.
Konačno, nakon zatvaranja sjednice JEA-e, Spremljeni su transkripti revizije i događaji Ovi zapisnici ostavljaju jasan trag izvršenih naredbi, rezultata i korisničkog konteksta. Zatim se mogu poslati ili povezati unutar SIEM sustava za upozorenja i daljnju analizu.
PowerShell udaljeno upravljanje, kontrola pristupa i osiguranje
PowerShell Remoting, podržan od strane usluge Udaljeno upravljanje Windowsima (WinRM) WS-Management protokol omogućuje centralizirano izvršavanje naredbi i skripti na udaljenim računalima. To je moćan alat za automatizaciju, masovno upravljanje poslužiteljima, otklanjanje pogrešaka i udaljenu podršku.
Zadano, lokalni administratori i članovi grupe Korisnici udaljenog upravljanja Mogu koristiti standardne PowerShell krajnje točke. U mnogim okruženjima ova se mogućnost koristila kako bi se korisnicima koji nisu administratori omogućilo pokretanje udaljenih zadataka, što samo po sebi nije opasno, ali ako se ne kontrolira pravilno, otvara značajan put za zlouporabu.
Za jačanje sigurnosne pozicije, uobičajena strategija uključuje Ograničite udaljeni pristup PowerShellu samo na administratorske račune. Ili, još bolje, kombinirajte to ograničenje s JEA krajnjim točkama koje određenim korisnicima daju samo strogo potreban pristup. To se može postići putem:
- GPO-ovi koji definiraju koje grupe mogu koristiti WinRM i zadane krajnje točke.
- Pravila vatrozida koja dopuštaju WinRM samo iz podmreža ili upravljačkih računala.
- Uklanjanje grupe Remote Management Users iz ACL-ova standardnih krajnjih točaka.
Osim toga, možete odabrati Potpuno blokiranje PowerShella za korisnike koji nisu administratori korištenjem rješenja poput AppLockera. Na taj način sprječavate standardnog korisnika da lokalno pokreće zlonamjerne skripte, ali i dalje dopuštate privilegiranim računima korištenje PowerShella za zadatke upravljanja i automatizacije.
JEA u usporedbi s drugim PowerShell metodama ograničenja
Postoji nekoliko načina za ograničavanje onoga što korisnici mogu učiniti s PowerShell udaljenim radom, i JEA je tanja i fleksibilnija opcija unutar raspona koji uključuje šire pristupe kao što su:
S jedne strane, korištenje GPO za kontrolu tko ulazi u zadane krajnje točke PowerShellaMicrosoft PowerShell može biti ograničen na administratore ili čak odjavljen za sve, prisiljavajući korištenje određenih krajnjih točaka. To je korisno za ograničavanje pristupa na "brute force" način, ali ne rješava problem granularnosti: tko god dobije pristup može učiniti gotovo sve.
S druge strane, postoje alati za kontrolu aplikacija kao što su Pravila za AppLocker ili ograničenja softveraOve metode vam omogućuju da standardnim korisnicima zabranite izvršavanje PowerShell.exe ili pwsh.exe, bilo putem putanje, izdavača ili hash-a. Ovaj pristup je koristan za zaštitu radnih stanica i sprječavanje bilo kojeg korisnika da pokrene PowerShell, ali predstavlja ograničenja kada želite da netko obavlja ograničene administrativne zadatke sa svog korisničkog računa.
Druga mogućnost su Ograničene krajnje točke bez postizanja punog JEA-aMožete stvoriti prilagođene konfiguracije sesija koje ograničavaju cmdlete, funkcije i module, ali bez prevelikog oslanjanja na model uloge, virtualne račune ili strukturirani RBAC koji JEA pruža. To je svojevrsni srednji put pogodan za jednostavne scenarije, ali manje skalabilan u velikim okruženjima.
JEA kombinira najbolje iz nekoliko svjetova: strogo ograničenje naredbi, RBAC, kontrolirano izvršavanje s povišenim privilegijama i sveobuhvatno evidentiranjeZbog toga je to preporučeno rješenje kada trebate omogućiti PowerShell udaljeno upravljanje za korisnike koji nisu administratori, ali bez pružanja potpunog okruženja za upravljanje.
Napredne značajke: pokretanje kao drugi račun i prijava
Jedna od najmoćnijih JEA-inih sposobnosti je izvršavajte naredbe kao drugi, privilegiraniji račun bez otkrivanja svojih vjerodajnicaTo rješava tipičan problem "Dat ću ti lozinku za ovu uslugu da možeš napraviti X", koja se onda nikad ne mijenja i na kraju predstavlja ogroman rizik.
Scenariji domene se često koriste Grupni upravljani servisni računi (gMSA) To omogućuje JEA krajnjim točkama izvršavanje radnji pod centralno upravljanim identitetom usluge, s automatskom rotacijom lozinke i bez da bilo koji operater ikada sazna tajnu. U drugim slučajevima koriste se privremeni virtualni računi lokalni za računalo, koji se kreiraju ad hoc kada se korisnik poveže i uništavaju na kraju sesije.
Iz perspektive revizije, svaka JEA sesija može biti konfigurirana za generiranje PowerShell transkripata i bogatih zapisa u dnevniku događajaInformacije koje se obično prikupljaju uključuju:
- Potpuna povijest unesenih naredbi i parametara.
- Generirani izlaz i poruke o pogreškama.
- Vremenska oznaka početka i završetka sesije, kao i njezino trajanje.
- Identitet prijavljenog korisnika i dodijeljena uloga/sposobnost.
Ako kombinirate ove tragove s funkcionalnostima Zapisivanje i modul PowerShell Script Blokiraj zapisivanje putem GPO-aSlanjem zapisnika u SIEM dobivate robustan uvid u ono što se događa na vašim upravljačkim krajnjim točkama. To je ključno i za usklađenost (SOX auditi, ISO 27001 itd.) i za otkrivanje i reagiranje na incidente.
Tipični slučajevi upotrebe JEA u stvarnim okruženjima
JEA blista posebno kada vam zatreba Delegiranje vrlo specifičnih zadataka timovima koji ne bi trebali biti administratoriNeki vrlo česti primjeri u praksi su:
U području tehničke podrške možete pružiti vrhunskim tehničarima JEA pristup za ponovno pokretanje usluga, pregled zapisnika događaja i provjeru statusa procesa na poslužiteljima, ali bez mogućnosti instaliranja softvera, izmjene kritičnih konfiguracija ili pristupa Active Directoryju. Tipična uloga službe za korisnike može uključivati cmdlete kao što su Get-Service, Restart-Service za određene usluge, Get-EventLog u načinu samo za čitanje i neke cmdlete za mrežnu dijagnostiku.
U operacijskim ili razvojnim timovima možete konfigurirati uloge usmjerene na specifične zadatke poput administracije IIS-a ili održavanja web straniceNa primjer, dopuštanje pristupa cmdletima za upravljanje skupom aplikacija, ponovno pokretanje web-mjesta, ispitivanje zapisnika iz ograničenog direktorija i upravljanje certifikatima za određene usluge, a isključivanje bilo kakve mogućnosti ponovnog pokretanja cijelog poslužitelja ili izmjene sigurnosnih pravila.
U hibridnim i cloud okruženjima, JEA se često koristi za ograničiti što svaki tim može učiniti u vezi virtualni strojevi, skladištenje ili mrežeMožete otkriti krajnje točke koje vam omogućuju upravljanje samo virtualnim strojevima odjela, mijenjanje pravila vatrozida određenog segmenta ili upravljanje određenim skupom servisnih računa, držeći pristup odvojenim od ostatka infrastrukture.
Istovremeno, JEA se vrlo dobro uklapa s Strategije upravljanja privilegiranim pristupom (PAM)gdje se privilegirane sesije odobravaju privremeno, zapisuju i pripisuju osobnim identitetima, izbjegavajući dijeljenje računa i minimizirajući rizik povezan sa svakom privilegiranom radnjom.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.