- JEA piemēro mazāko privilēģiju principu PowerShell attālināta piekļuve, samazinot kontu skaitu ar paaugstinātām privilēģijām un ierobežojot katrai lomai pieejamo cmdlet skaitu.
- .psrc un .pssc failu kombinācija ļauj definēt lomu iespējas, ierobežotus galapunktus, virtuālos kontus un detalizētus transkriptus pilnīgai auditam.
- Salīdzinot ar tādām pieejām kā GPO, AppLocker vai vispārīgiem galapunktiem, JEA piedāvā daudz detalizētāku kontroli un stabilu RBAC modeli uzdevumu deleģēšanai, neatklājot privilēģētos akreditācijas datus.
- Tā pareiza ieviešana prasa rūpīgu lomu izstrādi, testēšanu un nepārtrauktu uzturēšanu, taču tā ievērojami uzlabo drošību, nezaudējot produktivitāti.
PowerShell attālinātās vadības izmantošana ir kļuvusi gandrīz neaizstājama jebkurā vidē. Windows Moderni, bet attālinātas piekļuves piešķiršana bez kontroles ir kā datu centra atslēgu atstāšana uz galda. Šeit noder spēle. Tieši pietiekami administrācija (JEA), drošības slānis, kas ļauj deleģēt uzdevumus, neatdodot administratora tiesības pa labi un kreisi.
Ar JEA varat iestatīt ļoti ierobežotus attālās piekļuves punktus, kur tikai konkrēti lietotāji palaiž komandas ko esat autorizējis kontos ar plašākām privilēģijām, bet nezinot īstās pilnvaras vai nespējot novirzīties no scenārijaUn tas viss tika ierakstīts transkriptos un žurnāli detalizētas, kas pēc tam ļauj jums pārbaudīt, kas ko ir paveicis, kad un no kurienes.
Kas ir tieši pietiekama administrēšana (Just-Enough-Administration — JEA) un kāpēc tā ir svarīga?
Just-Enough-Administrācija ir uz PowerShell balstīta drošības tehnoloģija. kas ievieš deleģētās administrēšanas modeli ar vismazākajām nepieciešamajām privilēģijām. Praksē JEA ļauj jums piekļūt attāliem galapunktiem, kur ir pieejams tikai slēgts cmdlet, funkciju, skriptu un jūsu definētu ārējo komandu kopums.
Pateicoties šai pieejai, jūs varat ievērojami samazināt kontu skaitu ar paaugstinātām privilēģijām Savos serveros varat izmantot virtuālos kontus vai grupas pārvaldītus pakalpojumu kontus (gMSA), kas izpilda privileģētas darbības standarta lietotāju vārdā. Lietotājs piesakās ar saviem parastajiem akreditācijas datiem un, izmantojot JEA sesiju, palaiž komandas, kas tiek izpildītas nemanāmi ar augstākām privilēģijām.
Vēl viens JEA svarīgs pīlārs ir spēja precīzi definēt, ko katra loma var darītLomu iespēju faili nosaka, kuras cmdlet, pielāgotās funkcijas, ārējās komandas vai PowerShell nodrošinātāji ir redzami. Pārējais lietotājam vienkārši neeksistē: tie nevar improvizēt skriptus, brīvi pārvietoties pa failu sistēmu vai piekļūt pakalpojumiem vai procesiem, ko neesat norādījis.
Turklāt visas JEA sesijas var konfigurēt tā, lai tās ģenerētu pilnas transkripti un audita notikumiKomandu, parametru, izvades, kļūdu, lietotāja identitātes un izpildes laiku iegūšana ne tikai palīdz izpildīt normatīvās prasības, bet arī ir nenovērtējama, izmeklējot drošības incidentu vai darbības kļūmi.
Privileģēto kontu riski un kā JEA tos mazina
Lokālie, domēna vai lietojumprogrammu administratora konti ar paaugstinātām atļaujām nozīmē viens no nopietnākajiem riska vektoriem jebkurā organizācijāJa uzbrucējs iegūst kādu no šiem akreditācijas datiem, viņš var pārvietoties pa tīklu horizontāli, palielināt privilēģijas un iegūt piekļuvi kritiski svarīgiem datiem, galvenajiem pakalpojumiem vai pat pārtraukt veselu sistēmu darbību.
Privilēģiju atņemšana ne vienmēr ir vienkārša. Klasisks piemērs ir serveris, kurā ir gan DNS, gan Active Directory domēna kontrollerisDNS komandai ir nepieciešamas lokālā administratora privilēģijas, lai novērstu DNS pakalpojumu problēmas, taču, pievienojot tos domēna administratoru grupai, tie faktiski iegūst kontroli pār visu mežu un piekļuvi jebkuram resursam šajā datorā. Šis ir klasisks piemērs tam, kā upurēt drošību darbības ērtības vārdā.
JEA atrisina šo dilemmu, stingri piemērojot mazāko privilēģiju principsTā vietā, lai DNS administratorus padarītu par domēna administratoriem, varat izveidot īpašu DNS JEA galapunktu, kas nodrošina tikai tās cmdlet, kas nepieciešamas kešatmiņas notīrīšanai, pakalpojuma restartēšanai, žurnālu pārskatīšanai vai līdzīgiem uzdevumiem. Tas ļauj operatoram veikt savu darbu, nepārbaudot Active Directory, nepārlūkojot failu sistēmu, neizpildot nejaušus skriptus vai neizpildot potenciāli bīstamas utilītas.
Kad konfigurējat JEA sesijas, lai tās izmantotu virtuālie konti ar pagaidu atļaujāmŠī darbība ir vēl interesantāka: lietotājs izveido savienojumu ar neprivileģētiem akreditācijas datiem un no šīs sesijas var veikt uzdevumus, kuriem parasti ir nepieciešamas administratora tiesības. Tas ļauj daudzus lietotājus noņemt no lokālajām vai domēna administratoru grupām, saglabājot darbību un vienlaikus ievērojami nostiprinot uzbrukuma virsmu.
Drošības koncepcijas, kas ir JEA pamatā
JEA neradās no nekā: Tas ir balstīts uz vairākiem labi zināmiem drošības principiem un modeļiem. kas piešķir tam saskaņotību un robustumu. Pirmais ir iepriekšminētais mazāko privilēģiju princips, kas nosaka, ka gan lietotājiem, gan procesiem jābūt tikai tām atļaujām, kas ir būtiskas to funkciju veikšanai.
Otrais galvenais pīlārs ir modelis Uz lomām balstīta piekļuves kontrole (RBAC)JEA ievieš RBAC, izmantojot lomu iespēju failus, kuros jūs definējat, ko konkrēta loma var darīt attālās sesijas laikā. Piemēram, palīdzības dienesta loma var uzskaitīt pakalpojumus, skatīt notikumus un restartēt konkrētu pakalpojumu, savukārt SQL Server administrēšanas loma var izpildīt tikai cmdlet, kas saistītas ar... datu bāzes un nedaudz vairāk.
La JEA tehniskais pamats ir PowerShell un tā attālinātās darbības infrastruktūra.PowerShell nodrošina valodu, cmdlet un attālās saziņas slāni (WinRM/WS-Management), un JEA papildus pievieno ierobežotu galapunktu, virtuālo kontu un detalizētas kontroles sistēmu pār pieejamajām komandām.
Vēl viens svarīgs jēdziens ir ierobežota administrēšana, līdzīgi kā a piešķirta piekļuve operētājsistēmā Windows 11 kioska režīmāTā vietā, lai operatoram piešķirtu pilnu čaulu, JEA izveido sesiju, kurā skriptvaloda ir ierobežota (pēc noklusējuma NoLanguage), jaunu funkciju vai mainīgo izveide ir bloķēta, cikli un nosacījumi ir aizliegti, un ir atļauts izpildīt tikai apstiprināto cmdlet kopu. Tas ievērojami ierobežo uzbrucēja iespējas, ja viņam izdodas iegūt piekļuvi šai sesijai.
Galvenās sastāvdaļas: .psrc un .pssc faili
Jebkuras JEA izvietošanas pamatā ir divu veidu faili: lomu iespēju faili (.psrc) un sesijas konfigurācijas faili (.pssc)Kopā tie pārveido universālu čaulu par perfekti pielāgotu galapunktu konkrētiem lietotājiem.
Lomas iespēju failā jūs definējat tieši kuras komandas ir pieejamas lomaiStarp svarīgākajiem elementiem ir:
- Redzamās komandas: atļauto cmdlet saraksts, pat iespēja ierobežot parametrus.
- Redzamās funkcijas: pielāgotas funkcijas, kas tiek ielādētas sesijā.
- Redzamās ārējās komandas: konkrēti ārējie izpildāmie faili, kuriem tiek piekļūts.
- Redzamie pakalpojumu sniedzējiSesijā redzamie PowerShell pakalpojumu sniedzēji (piemēram, FileSystem vai Registry).
Savukārt .pssc sesijas konfigurācijas faili Viņi apraksta JEA galapunktu kā tādu un saista to ar lomām.Šeit tiek deklarēti šādi elementi:
- Lomu definīcijas: lietotāju vai drošības grupu kartēšana ar lomu iespējām.
- Sesijas tips: kur parasti tiek iestatīts “RestrictedRemoteServer”, lai pastiprinātu sesiju.
- Transkriptu direktorijs: mape, kurā tiek glabāti katras sesijas transkripti.
- Palaist kā virtuālu kontu un saistītās opcijas, piemēram, vai virtuālais konts tiek pievienots konkrētām grupām.
JEA materializējas kā Sistēmā reģistrētie PowerShell attālinātās piekļuves galapunktiŠie galapunkti tiek izveidoti un iespējoti ar cmdlet, piemēram, Jauns PSSessionConfigurationFile, Reģistra PSSesijas konfigurācija vai grafiskus rīkus, piemēram, JEA Helper Tool, kas atvieglo .pssc un .psrc failu ģenerēšanu, tik ļoti neiedziļinoties sintaksi.
JEA sesijas dzīves cikls
Izveidojot pilnīgu JEA vidi, process parasti notiek pēc virknes loģisku darbību, kas Tie pārveido atvērtu attālinātās vadības sistēmu par stingri regulētu.Tipiska secība ir šāda:
Pirmkārt, jūs izveidojat a drošības grupa vai vairākas grupas kas pārstāv lomas, kuras vēlaties deleģēt (piemēram, HelpdeskDNS, tīmekļa operatori, SQL operatori). Grupu izmantošana nav obligāta, taču tā ievērojami vienkāršo administrēšanu, videi augot.
Pēc tam tiek sagatavots viens vai vairāki lomu iespēju faili .psrc Šeit ir uzskaitītas atļautās darbības: cmdlet, funkcijas, skripti, ārējās komandas, aizstājvārdi, pakalpojumu sniedzēji un papildu ierobežojumi (konkrēti parametri, atļautie ceļi utt.). Piemēram, šeit varat atļaut visas cmdlet, kas sākas ar Get-, ierobežot Restart-Service tikai uz spolēšanas pakalpojumu un autorizēt tikai failu sistēmas pakalpojumu sniedzēju.
Tiek ģenerēts sekojošais sesijas konfigurācijas fails .pssc izmantojot New-PSSessionConfigurationFile. Tas definē tādas opcijas kā SessionType = RestrictedRemoteServer, TranscriptDirectory ceļu, vai tiek izmantoti virtuālie konti, un RoleDefinitions bloku, kas saista grupas ar lomu iespējām, piemēram, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
Kad .pssc fails jau ir sagatavots, galapunkts tiek reģistrēts, izmantojot Register-PSSessionConfiguration -Name JEASession Name -Path Path\File.psscNo šī brīža, ja pieejamās konfigurācijas ir uzskaitītas ar Get-PSSessionConfiguration, jaunais savienojuma punkts tiks parādīts kā gatavs savienojumu saņemšanai.
Lietotāji izveido savienojumu ar šo galapunktu no saviem datoriem, izmantojot Ievadiet PSSession -ComputerName Server -ConfigurationName JEASession Name vai ar New-PSSession un pēc tam Invoke-Command. Pēc sesijas atvēršanas tā automātiski piemēro ierobežojumus, kas definēti lietotāja saistītajā lomas iespējās.
Sesijas laikā, PowerShell attālinātā piekļuve izmanto WinRM ar šifrētiem kanāliemIntegrēta autentifikācija (parasti domēnā tiek izmantota Kerberos autentifikācija) un pakalpojumam definētie ugunsmūra noteikumi. Pamatojoties uz to, ja ir iespējota RunAsVirtualAccount funkcija, tiek izveidots pagaidu virtuālais konts, pievienots nepieciešamajām grupām un iznīcināts, kad sesija beidzas.
Visbeidzot, noslēdzot JEA sesiju, Audita transkripti un notikumi tiek saglabāti Šie žurnāli atstāj skaidru izpildīto komandu, rezultātu un lietotāja konteksta taku. Pēc tam tos var nosūtīt uz SIEM sistēmu vai korelēt tajā brīdinājumiem un tālākai analīzei.
PowerShell attālinātā piekļuve, piekļuves kontrole un aizsardzības pastiprināšana
PowerShell attālinātā piekļuve, ko atbalsta pakalpojums Windows attālā pārvaldība (WinRM) WS-Management protokols ļauj centralizēti izpildīt komandas un skriptus attālos datoros. Tas ir jaudīgs rīks automatizācijai, masveida serveru pārvaldībai, atkļūdošanai un attālinātam atbalstam.
Pēc noklusējuma vietējie administratori un attālās pārvaldības lietotāju grupas dalībnieki Viņi var izmantot standarta PowerShell galapunktus. Daudzās vidēs šī iespēja ir izmantota, lai lietotāji bez administratora tiesībām varētu veikt attālinātus uzdevumus, kas pēc būtības nav bīstami, taču, ja tie netiek pienācīgi kontrolēti, tie paver ievērojamas iespējas ļaunprātīgai izmantošanai.
Lai stiprinātu drošības stāvokli, kopīga stratēģija ietver Ierobežojiet attālo PowerShell piekļuvi tikai administratora kontiem. Vai, vēl labāk, apvienot šo ierobežojumu ar JEA galapunktiem, kas noteiktiem lietotājiem piešķir tikai absolūti nepieciešamo piekļuvi. To var panākt, izmantojot:
- Grupu objektos (GPO), kas nosaka, kuras grupas var izmantot WinRM, un noklusējuma galapunktus.
- Ugunsmūra noteikumi, kas atļauj WinRM tikai no apakštīkliem vai pārvaldības datoriem.
- Attālās pārvaldības lietotāju grupas noņemšana no standarta galapunktu ACL.
Turklāt jūs varat izvēlēties Pilnībā bloķēt PowerShell lietotājiem, kas nav administratori izmantojot tādus risinājumus kā AppLocker. Tādā veidā jūs neļaujat standarta lietotājam lokāli palaist ļaunprātīgus skriptus, bet joprojām ļaujat priviliģētiem kontiem izmantot PowerShell pārvaldības un automatizācijas uzdevumiem.
JEA salīdzinājumā ar citām PowerShell ierobežošanas metodēm
Ir vairāki veidi, kā ierobežot lietotāju iespējas, izmantojot PowerShell attālināto piekļuvi, un JEA ir plānāks un elastīgāks variants diapazonā, kas ietver plašākas pieejas, piemēram:
No vienas puses, izmantošana GPO, lai kontrolētu, kas ievada noklusējuma PowerShell galapunktusMicrosoft PowerShell var būt ierobežots tikai administratoriem vai pat atreģistrēts visiem, piespiežot izmantot noteiktus galapunktus. Tas ir noderīgi piekļuves ierobežošanai "brute force" veidā, taču tas neatrisina granularitātes problēmu: ikviens, kas iegūst piekļuvi, var darīt praktiski jebko.
No otras puses, pastāv lietojumprogrammu kontroles rīki, piemēram, AppLocker vai programmatūras ierobežojumu politikasŠīs metodes ļauj liegt PowerShell.exe vai pwsh.exe izpildi standarta lietotājiem, izmantojot ceļu, publicētāju vai jaucējkodu. Šī pieeja ir noderīga darbstaciju drošības uzlabošanai un PowerShell palaišanas novēršanai, taču tā rada ierobežojumus, ja vēlaties, lai kāds veiktu ierobežotus administratīvus uzdevumus no sava lietotāja konta.
Vēl viena iespēja ir Ierobežoti galapunkti, nesasniedzot pilnu JEAVarat izveidot pielāgotas sesijas konfigurācijas, kas ierobežo cmdlet, funkcijas un moduļus, taču tik ļoti nepaļaujoties uz JEA nodrošināto lomu modeli, virtuālajiem kontiem vai strukturēto RBAC. Tas ir sava veida kompromiss, kas piemērots vienkāršiem scenārijiem, bet ir mazāk mērogojams lielās vidēs.
JEA apvieno labāko no vairākām pasaulēm: stingrs komandu ierobežojums, RBAC, kontrolēta paaugstinātu privilēģiju izpilde un visaptveroša reģistrēšanaTādēļ tas ir ieteicamais risinājums, ja nepieciešams iespējot PowerShell attālo pārvaldību lietotājiem, kas nav administratori, bet nenodrošinot viņiem pilnīgu pārvaldības vidi.
Papildu funkcijas: palaist kā citu kontu un reģistrēt
Viena no JEA spēcīgākajām iespējām ir izpildīt komandas kā cits, privileģētāks konts, neatklājot savus akreditācijas datusTas atrisina tipisko problēmu "Es tev iedošu šī pakalpojuma paroli, lai tu varētu veikt X", kas pēc tam nekad netiek mainīta un galu galā rada milzīgu risku.
Domēna scenāriji tiek bieži izmantoti Grupas pārvaldītie pakalpojumu konti (gMSA) Tas ļauj JEA galapunktiem veikt darbības, izmantojot centralizēti pārvaldītu pakalpojuma identitāti, ar automātisku paroles maiņu un nevienam operatoram nekad nezinot noslēpumu. Citos gadījumos tiek izmantoti pagaidu virtuālie konti, kas ir lokāli iekārtai, tiek izveidoti ad hoc, kad lietotājs izveido savienojumu, un iznīcināti sesijas beigās.
No audita viedokļa katru JEA sesiju var konfigurēt tā, lai ģenerēt gan PowerShell transkriptus, gan bagātīgus notikumu žurnāla ierakstusParasti apkopotā informācija ietver:
- Pilnīga ievadīto komandu un parametru vēsture.
- Ģenerētā izvade un kļūdu ziņojumi.
- Sesijas sākuma un beigu laika zīmogs, kā arī tās ilgums.
- Pieteiktā lietotāja identitāte un piešķirtā loma/tiesības.
Ja apvienojat šīs pēdas ar funkcionalitātēm PowerShell moduļu reģistrēšana un Scenārijs Bloķēt reģistrēšanu, izmantojot GPONosūtot žurnālus uz SIEM, jūs iegūstat stabilu pārskatu par to, kas notiek jūsu pārvaldības galapunktos. Tas ir ļoti svarīgi gan atbilstības (SOX auditi, ISO 27001 utt.), gan incidentu atklāšanas un reaģēšanas nolūkos.
Tipiski JEA lietošanas gadījumi reālās pasaules vidē
JEA īpaši izceļas, kad tas ir nepieciešams Ļoti specifisku uzdevumu deleģēšana komandām, kurām nevajadzētu būt administratoriemDaži ļoti izplatīti piemēri praksē ir šādi:
Tehniskā atbalsta jomā jūs varat sniegt pakalpojumus augstākā līmeņa tehniķiem JEA piekļuve pakalpojumu restartēšanai, notikumu žurnālu skatīšanai un procesa statusa pārbaudei serveros, bet bez iespējas instalēt programmatūru, modificēt kritiskas konfigurācijas vai piekļūt Active Directory. Tipiska palīdzības dienesta loma var ietvert tādas cmdlet kā Get-Service, Restart-Service konkrētiem pakalpojumiem, Get-EventLog tikai lasīšanas režīmā un dažas tīkla diagnostikas cmdlet.
Operāciju vai izstrādes komandās varat konfigurēt lomas, kas koncentrējas uz konkrētiem uzdevumiem, piemēram, IIS administrēšanu vai tīmekļa vietnes uzturēšanuPiemēram, atļaujot piekļuvi lietojumprogrammu pūla pārvaldības cmdlet, tīmekļa vietņu restartēšanai, žurnālu vaicājumiem no ierobežota direktorija un sertifikātu pārvaldībai konkrētiem pakalpojumiem, vienlaikus izslēdzot jebkādu iespēju restartēt visu serveri vai mainīt drošības politikas.
Hibrīdās un mākoņvidēs JEA bieži tiek izmantota ierobežot to, ko katra komanda var darīt virtuālās mašīnas, glabāšana vai tīkliVarat atklāt galapunktus, kas ļauj pārvaldīt tikai nodaļas virtuālās mašīnas, modificēt konkrēta segmenta ugunsmūra noteikumus vai pārvaldīt noteiktu pakalpojumu kontu kopu, saglabājot piekļuvi atsevišķi no pārējās infrastruktūras.
Vienlaikus JEA ļoti labi iederas Privilēģētas piekļuves pārvaldības (PAM) stratēģijaskur privileģētās sesijas tiek piešķirtas īslaicīgi, reģistrētas un piesaistītas personas identitātēm, izvairoties no koplietotiem kontiem un samazinot ar katru privileģēto darbību saistīto risku.
Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.