Comunicare la distanță securizată PowerShell cu Just-Enough-Administration (JEA)

Utilizarea remote-ului PowerShell a devenit aproape indispensabilă în orice mediu ferestre din Modern, dar acordarea accesului de la distanță fără control este ca și cum ai lăsa cheile centrului de date pe masă. Aici intervine jocul. Administrare Just Enough (JEA), un nivel de securitate care vă permite să delegați sarcini fără a ceda drepturi de administrator la orice oră.

Cu JEA puteți configura puncte de acces la distanță foarte limitate, unde anumiți utilizatori execută doar comenzi pe care le-ați autorizat, sub conturi cu mai multe privilegii, dar fără a cunoaște adevăratele acreditări sau a putea abate de la scenariuȘi toate acestea au fost înregistrate în transcrieri și busteni detaliate care vă permit apoi să auditați cine a făcut ce, când și de unde.

Ce este Administrarea Just-Enough (JEA) și de ce este importantă?

Just-Enough-Administration este o tehnologie de securitate bazată pe PowerShell care implementează un model de administrare delegată cu cele mai mici privilegii necesare. În practică, JEA vă permite să expuneți endpoint-uri la distanță unde este disponibil doar un set închis de cmdlet-uri, funcții, scripturi și comenzi externe definite de dvs.

Datorită acestei abordări, puteți reduce drastic numărul de conturi cu privilegii sporite Pe serverele dvs., puteți utiliza conturi virtuale sau conturi de serviciu gestionate de grup (gMSA) care execută acțiuni privilegiate în numele utilizatorilor standard. Utilizatorul se conectează cu acreditările sale normale și, prin sesiunea JEA, lansează comenzi care sunt executate în culise cu privilegii superioare.

Un alt pilon cheie al JEA este capacitatea de a pentru a defini cu precizie ce poate face fiecare rolFișierele de capabilități ale rolurilor definesc ce cmdlet-uri, funcții personalizate, comenzi externe sau furnizori PowerShell sunt vizibili. Restul pur și simplu nu există pentru utilizator: acesta nu poate improviza scripturi, nu poate naviga liber în sistemul de fișiere sau nu poate accesa servicii sau procese pe care nu le-ați specificat.

În plus, toate sesiunile JEA pot fi configurate să genereze transcrieri complete și evenimente de auditCapturarea comenzilor, parametrilor, ieșirilor, erorilor, identității utilizatorilor și timpilor de execuție nu numai că ajută la îndeplinirea cerințelor de reglementare, dar este, de asemenea, neprețuită atunci când se investighează un incident de securitate sau o defecțiune operațională.

Riscurile conturilor privilegiate și modul în care JEA le atenuează

Conturile locale, de domeniu sau de administrator de aplicație cu permisiuni ridicate implică unul dintre cei mai importanți vectori de risc din orice organizațieDacă un atacator obține una dintre aceste acreditări, se poate deplasa lateral prin rețea, poate escalada privilegii și poate obține acces la date critice, servicii cheie sau chiar poate dezactiva sisteme întregi.

Eliminarea privilegiilor nu este întotdeauna banală. Un exemplu clasic este cel al un server care găzduiește atât DNS, cât și un controler de domeniu Active DirectoryEchipa DNS are nevoie de privilegii de administrator local pentru a depana problemele legate de serviciul DNS, dar adăugarea lor la grupul Administratori de domeniu le oferă efectiv control asupra întregii păduri și acces la orice resursă de pe acel computer. Acesta este un exemplu clasic de sacrificare a securității pentru confortul operațional.

JEA rezolvă această dilemă prin aplicarea strictă a principiul privilegiului minimÎn loc să setați administratorii DNS drept administratori de domeniu, puteți crea un endpoint DNS JEA dedicat care expune doar cmdlet-urile necesare pentru golirea memoriei cache, repornirea serviciului, revizuirea jurnalelor sau sarcini similare. Acest lucru permite operatorului să își îndeplinească sarcinile fără a fi nevoie să examineze Active Directory, să navigheze în sistemul de fișiere, să ruleze scripturi aleatorii sau să execute utilitare potențial periculoase.

Când configurați sesiunile JEA pentru a utiliza conturi virtuale cu permisiuni temporareMișcarea este și mai interesantă: utilizatorul se conectează cu acreditări neprivilegiate și, din acea sesiune, poate executa sarcini care în mod normal necesită drepturi de administrator. Acest lucru permite eliminarea multor utilizatori din grupurile locale sau de administratori de domeniu, menținând operațiunile și întărind semnificativ suprafața de atac.

Concepte de securitate care stau la baza JEA

JEA nu a apărut din nimic: Se bazează pe mai multe principii și modele de securitate bine stabilite. care îi conferă coerență și robustețe. Primul este principiul menționat anterior al privilegiilor minime, care dictează că atât utilizatorii, cât și procesele ar trebui să aibă doar permisiunile esențiale pentru funcțiile lor.

Al doilea pilon major este modelul de Controlul accesului bazat pe roluri (RBAC)JEA implementează RBAC prin fișiere de capabilități de rol, unde definiți ce poate face un anumit rol într-o sesiune la distanță. De exemplu, un rol de asistență tehnică poate lista servicii, vizualiza evenimente și reporni un anumit serviciu, în timp ce un rol de administrare SQL Server poate executa doar cmdlet-uri legate de... baze de date și încă puțin.

La Fundația tehnică a JEA este PowerShell și infrastructura sa de remote.PowerShell oferă limbajul, cmdlet-urile și stratul de comunicare la distanță (WinRM/WS-Management), iar JEA adaugă pe deasupra un sistem de endpoint-uri restricționate, conturi virtuale și control granular asupra comenzilor disponibile.

Un alt concept important este cel administrare restricționată, similar cu a Acces atribuit în modul chioșc Windows 11În loc să ofere unui operator o interfață shell completă, JEA construiește o sesiune în care limbajul de scripting este restricționat (implicit, NoLanguage), crearea de noi funcții sau variabile este blocată, buclele și condiționalitățile sunt interzise și este permisă executarea doar a setului aprobat de cmdlet-uri. Acest lucru limitează sever capacitatea unui atacator care reușește să obțină acces la acea sesiune.

Componente cheie: fișiere .psrc și .pssc

În centrul oricărei implementări JEA se află două tipuri de fișiere: fișiere de capabilități de rol (.psrc) și fișiere de configurare a sesiunii (.pssc)Împreună, acestea transformă un shell de uz general într-un endpoint perfect adaptat pentru utilizatori specifici.

Într-un fișier de capabilități de rol pe care îl definiți exact ce comenzi sunt disponibile pentru rolPrintre cele mai importante elemente se numără:

• VisibleCmdlets: listă de cmdlet-uri permise, chiar posibilitatea de a restricționa parametrii.
• Funcții vizibile: funcții personalizate care sunt încărcate în sesiune.
• VisibleExternalCommands: executabile externe specifice care sunt accesate.
• Furnizori vizibiliFurnizori PowerShell (de exemplu, FileSystem sau Registry) vizibili în sesiune.

Fișierele de configurare a sesiunii .pssc, pe de altă parte, Aceștia descriu endpoint-ul JEA ca atare și îl leagă de roluri.Aici sunt declarate elemente precum următoarele:

• Definiții ale rolurilor: maparea utilizatorilor sau a grupurilor de securitate la capabilitățile rolurilor.
• SessionTypeunde „RestrictedRemoteServer” este de obicei setat pentru a consolida sesiunea.
• TranscriptDirectory: folderul în care sunt stocate transcrierile fiecărei sesiuni.
• RunAsVirtualAccount și opțiuni conexe, cum ar fi dacă contul virtual este adăugat la anumite grupuri.

JEA se materializează sub forma Puncte finale de comunicare la distanță PowerShell înregistrate în sistemAceste endpoint-uri sunt create și activate cu cmdlet-uri, cum ar fi Fișier de configurare nou pentru sesiunea PS, Configurarea sesiunii Register-PS sau instrumente grafice precum JEA Helper Tool, care facilitează generarea de fișiere .pssc și .psrc fără a se confrunta prea mult cu sintaxa.

Ciclul de viață al sesiunii JEA

La configurarea unui mediu JEA complet, procesul urmează de obicei o serie de pași logici care Acestea transformă un sistem deschis de comunicare la distanță într-unul strict guvernat.Secvența tipică este:

În primul rând, creați un grup de securitate sau mai multe grupuri care reprezintă rolurile pe care doriți să le delegați (de exemplu, HelpdeskDNS, Operatori Web, Operatori SQL). Utilizarea grupurilor nu este obligatorie, dar simplifică mult administrarea pe măsură ce mediul crește.

Apoi, se pregătesc unul sau mai multe fișiere de capabilități de rol .psrc Acestea listează acțiunile permise: cmdleturi, funcții, scripturi, comenzi externe, aliasuri, furnizori și restricții suplimentare (parametri specifici, căi permise etc.). Aici, de exemplu, puteți permite toate cmdleturile care încep cu Get-, puteți restricționa Restart-Service la serviciul Spooler și puteți autoriza doar furnizorul FileSystem.

Următoarele sunt generate fișierul de configurare a sesiunii .pssc folosind New-PSSessionConfigurationFile. Acesta definește opțiuni precum SessionType = RestrictedRemoteServer, calea TranscriptDirectory, dacă sunt utilizate conturi virtuale și blocul RoleDefinitions care leagă grupurile de capacitățile rolurilor, de exemplu, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.

Cu fișierul .pssc deja pregătit, endpoint-ul este înregistrat folosind Register-PSSessionConfiguration -Name Nume sesiune JEASession -Cale Cale\Fișier.psscDin acel moment, dacă configurațiile disponibile sunt listate cu Get-PSSessionConfiguration, noul punct de conexiune va apărea gata să primească conexiuni.

Utilizatorii se conectează la acest punct final de pe computerele lor cu Enter-PSSession -ComputerName Server -ConfigurationName Nume sesiune JEAS sau cu New-PSSession și apoi Invoke-Command. La intrare, sesiunea aplică automat restricțiile definite în capacitatea rolului asociat utilizatorului.

În timpul ședinței, Comunicarea la distanță PowerShell utilizează WinRM cu canale criptateAutentificare integrată (de obicei Kerberos în domeniu) și regulile firewall definite pentru serviciu. În acest sens, dacă este activată opțiunea RunAsVirtualAccount, se creează un cont virtual temporar, se adaugă la grupurile necesare și se distruge la încheierea sesiunii.

În final, la închiderea sesiunii JEA, Transcrierile și evenimentele de audit sunt salvate Aceste jurnale lasă o urmă clară a comenzilor executate, a rezultatelor și a contextului utilizatorului. Acestea pot fi apoi trimise către sau corelate în cadrul unui sistem SIEM pentru alerte și analize ulterioare.

Comunicare la distanță, control acces și consolidare PowerShell

PowerShell Remoting, acceptat de serviciu Administrare la distanță Windows (WinRM) Protocolul WS-Management permite executarea centralizată a comenzilor și scripturilor pe computere la distanță. Este un instrument puternic pentru automatizare, gestionarea serverelor în masă, depanare și asistență la distanță.

Mod implicit, administratori locali și membri ai grupului Utilizatori de gestionare la distanță Pot utiliza endpoint-uri PowerShell standard. În multe medii, această capacitate a fost utilizată pentru a permite utilizatorilor care nu au drepturi de administrator să execute activități la distanță, ceea ce nu este în mod inerent periculos, dar dacă nu este controlat corespunzător, deschide o cale semnificativă pentru abuz.

Pentru a consolida postura de securitate, o strategie comună implică Restricționați accesul la distanță la PowerShell doar la conturile de administrator. Sau, și mai bine, combinați această limitare cu endpoint-uri JEA care oferă anumitor utilizatori doar accesul strict necesar. Acest lucru poate fi realizat prin:

• GPO-uri care definesc ce grupuri pot utiliza WinRM și punctele finale implicite.
• Reguli de firewall care permit WinRM doar din subrețele sau computere de administrare.
• Eliminarea grupului Utilizatori de gestionare la distanță din ACL-urile endpoint-urilor standard.

În plus, puteți alege să Blochează complet PowerShell pentru utilizatorii care nu au drepturi de administrator folosind soluții precum AppLocker. În acest fel, împiedicați un utilizator standard să ruleze scripturi rău intenționate la nivel local, dar permiteți în continuare conturilor privilegiate să utilizeze PowerShell pentru sarcini de administrare și automatizare.

JEA versus alte metode de restricționare PowerShell

Există mai multe modalități de a limita ceea ce pot face utilizatorii cu ajutorul comunicării la distanță PowerShell și JEA se potrivește ca o opțiune mai subțire și mai flexibilă într-o gamă care include abordări mai ample, cum ar fi:

Pe de o parte, utilizarea GPO pentru a controla cine introduce punctele finale implicite PowerShellMicrosoft PowerShell poate fi restricționat la administratori sau chiar neînregistrat pentru toată lumea, forțând utilizarea unor endpoint-uri specifice. Acest lucru este util pentru restricționarea accesului într-o manieră „brute force”, dar nu rezolvă problema granularității: oricine obține acces poate face practic orice.

Pe de altă parte, există instrumente de control al aplicațiilor, cum ar fi Politicile de restricționare a software-ului sau AppLockerAceste metode vă permit să refuzați execuția PowerShell.exe sau pwsh.exe utilizatorilor standard, fie prin cale, editor sau hash. Această abordare este utilă pentru consolidarea securității stațiilor de lucru și pentru a împiedica orice utilizator să lanseze PowerShell, dar prezintă limitări atunci când doriți ca cineva să efectueze sarcini administrative limitate din contul său de utilizator.

O altă opțiune sunt Puncte finale constrânse fără a atinge JEA completPuteți crea configurații de sesiune personalizate care restricționează cmdlet-urile, funcțiile și modulele, dar fără a se baza la fel de mult pe modelul de rol, conturile virtuale sau RBAC structurat pe care le oferă JEA. Este un fel de cale de mijloc potrivită pentru scenarii simple, dar mai puțin scalabilă în medii mari.

JEA combină ce e mai bun din mai multe lumi: limitare strictă a comenzilor, RBAC, execuție controlată cu privilegii ridicate și înregistrare completă în jurnalDin acest motiv, este soluția recomandată atunci când trebuie să activați comunicarea la distanță PowerShell pentru persoane care nu sunt administratori, dar fără a le oferi un mediu de gestionare complet.

Funcții avansate: rulează ca un alt cont și înregistrează-te

Una dintre cele mai puternice capacități ale JEA este executați comenzi ca un alt cont, cu mai multe privilegii, fără a vă expune acreditărileAsta rezolvă problema tipică de genul „îți dau parola pentru acest serviciu ca să poți face X”, care apoi nu este niciodată schimbată și ajunge să fie un risc uriaș.

Scenariile de domeniu sunt utilizate în mod obișnuit Conturi de servicii gestionate de grup (gMSA) Acest lucru permite endpoint-urilor JEA să execute acțiuni sub o identitate de serviciu gestionată central, cu rotație automată a parolei și fără ca vreun operator să cunoască secretul. În alte cazuri, se utilizează conturi virtuale temporare locale pentru mașină, create ad-hoc atunci când un utilizator se conectează și distruse la sfârșitul sesiunii.

Din perspectiva auditului, fiecare sesiune JEA poate fi configurată pentru a generați atât transcrieri PowerShell, cât și intrări îmbogățite în jurnalul de evenimenteInformațiile care sunt de obicei colectate includ:

• Istoricul complet al comenzilor și parametrilor introduși.
• Ieșirea generată și mesajele de eroare.
• Marcajul temporal al începutului și sfârșitului sesiunii, precum și durata acesteia.
• Identitatea utilizatorului conectat și rolul/capacitatea atribuită.

Dacă combinați aceste urme cu funcționalități ale Înregistrarea în jurnal a modulelor PowerShell și Scenariu Blocarea înregistrării prin GPOȘi prin trimiterea jurnalelor către un SIEM, obțineți o vizibilitate robustă asupra a ceea ce se întâmplă pe endpoint-urile dvs. de management. Acest lucru este esențial atât pentru conformitate (audituri SOX, ISO 27001 etc.), cât și pentru detectarea și răspunsul la incidente.

Cazuri tipice de utilizare JEA în medii reale

JEA strălucește mai ales atunci când ai nevoie Delegarea unor sarcini foarte specifice către echipe care nu ar trebui să fie administratoriCâteva exemple foarte comune în practică sunt:

În zona de asistență tehnică, puteți oferi tehnicieni de nivel înalt Acces JEA pentru repornirea serviciilor, vizualizarea jurnalelor de evenimente și verificarea stării procesului pe servere, dar fără capacitatea de a instala software, de a modifica configurații critice sau de a accesa Active Directory. Un rol tipic de asistență tehnică ar putea include cmdlet-uri precum Get-Service, Restart-Service pentru servicii specifice, Get-EventLog în modul doar citire și unele cmdlet-uri de diagnosticare a rețelei.

În echipele de operațiuni sau de dezvoltare, puteți configura roluri axate pe sarcini specifice, cum ar fi administrarea IIS sau întreținerea site-ului webDe exemplu, permiterea accesului la cmdlet-urile de gestionare a Application Pool, repornirea site-urilor web, interogarea jurnalelor dintr-un director limitat și gestionarea certificatelor pentru servicii specifice, excluzând în același timp orice posibilitate de a reporni întregul server sau de a modifica politicile de securitate.

În mediile hibride și cloud, JEA este frecvent utilizat pentru limitează ceea ce poate face fiecare echipă în legătură cu mașini virtuale, depozitare sau rețelePuteți expune endpoint-uri care vă permit să gestionați doar mașinile virtuale ale unui departament, să modificați regulile firewall-ului unui anumit segment sau să gestionați un set specific de conturi de serviciu, menținând accesul separat de restul infrastructurii.

În același timp, JEA se potrivește foarte bine cu Strategii de gestionare a accesului privilegiat (PAM)unde sesiunile privilegiate sunt acordate temporar, înregistrate în jurnal și atribuite identităților personale, evitând conturile partajate și minimizând riscul asociat fiecărei acțiuni privilegiate.

Articol asociat:

Cum să limitați accesul la folderele partajate în Windows pas cu pas

Isaac

Scriitor pasionat despre lumea octeților și a tehnologiei în general. Îmi place să îmi împărtășesc cunoștințele prin scriere și asta voi face în acest blog, să vă arăt toate cele mai interesante lucruri despre gadgeturi, software, hardware, tendințe tehnologice și multe altele. Scopul meu este să vă ajut să navigați în lumea digitală într-un mod simplu și distractiv.