Telekomandë e sigurt PowerShell me Just‑Enough‑Administration (JEA)

Përdorimi i telekomandës PowerShell është bërë pothuajse i domosdoshëm në çdo mjedis. Dritaret Moderne, por dhënia e aksesit në distancë pa kontroll është si të lësh çelësat e qendrës së të dhënave mbi tavolinë. Këtu hyn në lojë. Administrimi i Vetëm-Mjaftueshëm (JEA), një shtresë sigurie që ju lejon të delegoni detyrat pa hequr dorë nga të drejtat e administratorit majtas e djathtas.

Me JEA mund të konfiguroni pika aksesi shumë të kufizuara në distancë ku përdorues të caktuar ekzekutojnë vetëm komandat që ju keni autorizuar, sipas llogarive me më shumë privilegje, por pa i ditur kredencialet e vërteta ose pa qenë në gjendje të devijoj nga skenariDhe e gjithë kjo u regjistrua në transkripte dhe shkrimet të detajuara që më pas ju lejojnë të auditoni se kush ka bërë çfarë, kur dhe nga ku.

Çfarë është Administrimi i Mjaftueshëm (JEA) dhe pse ka rëndësi?

Just-Enough-Administration është një teknologji sigurie e bazuar në PowerShell. i cili zbaton një model administrimi të deleguar me privilegjet më të pakta të nevojshme. Në praktikë, JEA ju lejon të ekspozoni pikat fundore të largëta ku vetëm një grup i mbyllur cmdlet-esh, funksionesh, skriptesh dhe komandash të jashtme të përcaktuara nga ju janë të disponueshme.

Falë kësaj qasje, ju mundeni zvogëloni në mënyrë drastike numrin e llogarive me privilegje të larta Në serverat tuaj, mund të përdorni llogari virtuale ose llogari shërbimesh të menaxhuara nga grupi (gMSA) që ekzekutojnë veprime të privilegjuara në emër të përdoruesve standardë. Përdoruesi hyn me kredencialet e tij normale dhe, përmes sesionit JEA, nis komanda që ekzekutohen prapa skenave me privilegje më të larta.

Një tjetër shtyllë kyçe e JEA-së është aftësia për të për të përcaktuar saktësisht se çfarë mund të bëjë secili rolSkedarët e aftësive të roleve përcaktojnë se cilat cmdlete, funksione të personalizuara, komanda të jashtme ose ofrues PowerShell janë të dukshëm. Pjesa tjetër thjesht nuk ekziston për përdoruesin: ai nuk mund të improvizojë skripte, të lundrojë lirisht në sistemin e skedarëve ose të hyjë në shërbime ose procese që nuk i keni specifikuar.

Për më tepër, të gjitha sesionet JEA mund të konfigurohen për të gjeneruar transkripte të plota dhe ngjarje auditimiKapja e komandave, parametrave, rezultateve, gabimeve, identitetit të përdoruesit dhe kohëzgjatjes së ekzekutimit jo vetëm që ndihmon në përmbushjen e kërkesave rregullatore, por është gjithashtu e paçmuar kur hetohet një incident sigurie ose një dështim operacional.

Rreziqet e llogarive të privilegjuara dhe si i zbut ato JEA

Llogaritë e administratorit lokal, të domenit ose të aplikacionit me leje të larta nënkuptojnë një nga vektorët më seriozë të rrezikut në çdo organizatëNëse një sulmues merr një nga këto kredenciale, ai mund të lëvizë anash nëpër rrjet, të përshkallëzojë privilegjet dhe të fitojë akses në të dhëna kritike, shërbime kyçe ose edhe të rrëzojë sisteme të tëra.

Heqja e privilegjeve nuk është gjithmonë e lehtë. Një shembull klasik është ai i një server që pret si DNS ashtu edhe një kontrollues domeni Active DirectoryEkipi i DNS ka nevojë për privilegje të administratorit lokal për të zgjidhur problemet e shërbimit DNS, por shtimi i tyre në grupin Domain Admins u jep atyre në mënyrë efektive kontroll mbi të gjithë pyllin dhe qasje në çdo burim në atë makinë. Ky është një shembull klasik i sakrifikimit të sigurisë për lehtësi operacionale.

JEA e zgjidh këtë dilemë duke zbatuar në mënyrë strikte parimi i privilegjit më të vogëlNë vend që t'i bëni administratorët DNS administratorë domenesh, mund të krijoni një pikë fundore të dedikuar DNS JEA që ekspozon vetëm cmdlet-et e nevojshme për pastrimin e memorjes së përkohshme, rinisjen e shërbimit, rishikimin e regjistrave ose detyra të ngjashme. Kjo i lejon operatorit të kryejë punën e tij pa pasur nevojë të shqyrtojë Active Directory, të lundrojë në sistemin e skedarëve, të ekzekutojë skripte të rastësishme ose të ekzekutojë shërbime potencialisht të rrezikshme.

Kur konfiguroni seancat JEA për t'u përdorur llogari virtuale me leje të përkohshmeLëvizja është edhe më interesante: përdoruesi lidhet me kredenciale të paprivilegjuara dhe, nga ajo seancë, mund të ekzekutojë detyra që normalisht kërkojnë të drejta administratori. Kjo lejon që shumë përdorues të hiqen nga grupet e administratorëve lokalë ose të domenit, duke ruajtur operacionet ndërkohë që forcon ndjeshëm sipërfaqen e sulmit.

Konceptet e sigurisë që mbështesin JEA-në

JEA nuk lindi nga hiçi: Bazohet në disa parime dhe modele sigurie të mirë-vendosura. të cilat i japin asaj koherencë dhe qëndrueshmëri. I pari është parimi i lartpërmendur i privilegjit më të vogël, i cili dikton që si përdoruesit ashtu edhe proceset duhet të kenë vetëm lejet thelbësore për funksionet e tyre.

Shtylla e dytë kryesore është modeli i Kontrolli i Qasjes i Bazuar në Role (RBAC)JEA implementon RBAC përmes skedarëve të aftësive të roleve, ku ju përcaktoni se çfarë mund të bëjë një rol specifik brenda një sesioni në distancë. Për shembull, një rol i ndihmës teknike mund të rendisë shërbimet, të shikojë ngjarjet dhe të rifillojë një shërbim specifik, ndërsa një rol administrimi i SQL Server mund të ekzekutojë vetëm cmdlet-e që lidhen me... Bazat e të dhënave dhe pak më shumë.

La Baza teknike e JEA-s është PowerShell dhe infrastruktura e saj e telekomunikimit.PowerShell ofron gjuhën, cmdlet-et dhe shtresën e komunikimit në distancë (WinRM/WS-Management), dhe JEA shton sipër një sistem pikash fundore të kufizuara, llogari virtuale dhe kontroll të detajuar mbi komandat e disponueshme.

Një koncept tjetër i rëndësishëm është administrim i kufizuar, e ngjashme me a qasje e caktuar në modalitetin kiosk të Windows 11Në vend që t'i japë një operatori një shell të plotë, JEA ndërton një seancë ku gjuha e skriptimit është e kufizuar (si parazgjedhje, NoLanguage), krijimi i funksioneve ose variablave të reja bllokohet, sythet dhe kushtet janë të ndaluara dhe vetëm grupi i miratuar i cmdlet-eve lejohet të ekzekutohet. Kjo e kufizon rëndë aftësinë e një sulmuesi që arrin të fitojë akses në atë seancë.

Komponentët kryesorë: skedarët .psrc dhe .pssc

Në zemër të çdo vendosjeje JEA janë dy lloje skedarësh: skedarët e aftësive të rolit (.psrc) dhe skedarët e konfigurimit të sesionit (.pssc)Së bashku ato transformojnë një shell për qëllime të përgjithshme në një pikë fundore të përshtatur në mënyrë të përkryer për përdorues të caktuar.

Në një skedar të aftësive të rolit që përcaktoni saktësisht cilat komanda janë të disponueshme për rolinNdër elementët më të rëndësishëm janë:

• VisibleCmdlets: listë e cmdlet-eve të lejuara, madje duke qenë në gjendje të kufizojë parametrat.
• Funksione të Dukshme: funksione të personalizuara që ngarkohen në seancë.
• Komandat e Dukshme të Jashtme: ekzekutues specifikë të jashtëm që aksesohen.
• VisibleOvidersOfruesit e PowerShell (për shembull, FileSystem ose Registry) të dukshëm në seancë.

Nga ana tjetër, skedarët e konfigurimit të sesionit .pssc Ata e përshkruajnë pikën fundore të JEA si të tillë dhe e lidhin atë me rolet.Elemente të tilla si më poshtë deklarohen këtu:

• Përkufizimet e Roleve: hartëzimi i përdoruesve ose grupeve të sigurisë me aftësitë e roleve.
• Lloji i Sesionitku 'RestrictedRemoteServer' zakonisht vendoset për të forcuar seancën.
• Drejtoria e Transkripteve: dosja ku ruhen transkriptet e secilës seancë.
• RunAsVirtualAccount dhe opsione të lidhura, të tilla si nëse llogaria virtuale shtohet në grupe specifike.

JEA materializohet në formën e Pikat fundore të telekomandës PowerShell të regjistruara në sistemKëto pika fundore krijohen dhe aktivizohen me cmdlete të tilla si Skedar i Ri i Konfigurimit të Sesionit PSS, Konfigurimi i Sesionit të Regjistrit PSS ose mjete grafike si Mjeti Ndihmës JEA, i cili e bën më të lehtë gjenerimin e skedarëve .pssc dhe .psrc pa u munduar shumë me sintaksën.

Cikli jetësor i sesionit JEA

Kur ngrihet një mjedis i plotë JEA, procesi zakonisht ndjek një seri hapash logjikë që Ata transformojnë një sistem të hapur telekomunikacioni në një sistem të qeverisur në mënyrë strikte.Sekuenca tipike është:

Së pari, ju krijoni një grup sigurie ose disa grupe që përfaqësojnë rolet që dëshironi të delegoni (për shembull, HelpdeskDNS, Operatorët e Uebit, Operatorët SQL). Përdorimi i grupeve nuk është i detyrueshëm, por e bën administrimin shumë më të thjeshtë ndërsa mjedisi rritet.

Pastaj, një ose më shumë përgatiten skedarët e aftësive të rolit .psrc Këto rendisin veprimet e lejuara: cmdlet-et, funksionet, skriptet, komandat e jashtme, pseudonimet, ofruesit dhe kufizime shtesë (parametra specifikë, shtigje të lejuara, etj.). Këtu, për shembull, mund të lejoni të gjitha cmdlet-et që fillojnë me Get-, të kufizoni Restart-Service në shërbimin Spooler dhe të autorizoni vetëm ofruesin FileSystem.

Gjenerohet e mëposhtme skedari i konfigurimit të sesionit .pssc duke përdorur New-PSSessionConfigurationFile. Ai përcakton opsione të tilla si SessionType = RestrictedRemoteServer, shtegun TranscriptDirectory, nëse përdoren llogari virtuale dhe bllokun RoleDefinitions që lidh grupet me aftësitë e roleve, për shembull, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.

Me skedarin .pssc të përgatitur tashmë, pika fundore regjistrohet duke përdorur Register‑PSSessionConfiguration -Emri JEASession Emri -Shtegu Shtegu\File.psscNga ai moment e tutje, nëse konfigurimet e disponueshme renditen me Get-PSSessionConfiguration, pika e re e lidhjes do të shfaqet gati për të marrë lidhje.

Përdoruesit lidhen me këtë pikë fundore nga kompjuterët e tyre me Enter‑PSSession -Emri i kompjuterit Server -Emri i konfigurimit Emri i JEASession ose me New-PSSession dhe pastaj Invoke-Command. Me hyrjen në sesion, seanca zbaton automatikisht kufizimet e përcaktuara në aftësinë e rolit të shoqëruar të përdoruesit.

Gjatë seancës, Telekomanda e PowerShell përdor WinRM me kanale të enkriptuaraAutentifikimi i integruar (zakonisht Kerberos në domen) dhe rregullat e firewall-it të përcaktuara për shërbimin. Në themel të kësaj, nëse RunAsVirtualAccount është aktivizuar, krijohet një llogari virtuale e përkohshme, shtohet në grupet e nevojshme dhe shkatërrohet kur mbaron seanca.

Më në fund, pas mbylljes së sesionit JEA, Transkriptet dhe ngjarjet e auditimit ruhen Këto regjistra lënë një gjurmë të qartë të komandave të ekzekutuara, rezultateve dhe kontekstit të përdoruesit. Ato më pas mund të dërgohen ose të lidhen brenda një sistemi SIEM për alarme dhe analiza të mëtejshme.

Telekomanda e PowerShell, kontrolli i aksesit dhe përforcimi

PowerShell Remoting, i mbështetur nga shërbimi Menaxhimi në distancë i Windows (WinRM) Protokolli WS-Management lejon ekzekutimin e centralizuar të komandave dhe skripteve në kompjuterë të largët. Është një mjet i fuqishëm për automatizim, menaxhim masiv të serverëve, debugging dhe mbështetje në distancë.

Default, administratorët lokalë dhe anëtarët e grupit të Përdoruesve të Menaxhimit në Distancë Ata mund të përdorin pikat fundore standarde PowerShell. Në shumë mjedise, kjo aftësi është përdorur për të lejuar përdoruesit jo-administratorë të ekzekutojnë detyra nga distanca, gjë që nuk është në thelb e rrezikshme, por nëse nuk kontrollohet siç duhet, hap një rrugë të rëndësishme për abuzim.

Për të forcuar pozicionin e sigurisë, një strategji e përbashkët përfshin Kufizoni aksesin në distancë të PowerShell vetëm për llogaritë e administratorit. Ose, edhe më mirë, kombinoni këtë kufizim me pikat fundore të JEA-s që u japin përdoruesve të caktuar vetëm aksesin e domosdoshëm. Kjo mund të arrihet përmes:

• GPO-të që përcaktojnë se cilat grupe mund të përdorin WinRM dhe pikat fundore të parazgjedhura.
• Rregullat e firewall-it që lejojnë WinRM vetëm nga nënrrjetet ose kompjuterët e menaxhimit.
• Duke hequr grupin e Përdoruesve të Menaxhimit në Distancë nga ACL-të e pikave fundore standarde.

Përveç kësaj, ju mund të zgjidhni të Blloko plotësisht PowerShell për përdoruesit jo-administratorë duke përdorur zgjidhje si AppLocker. Në këtë mënyrë, ju parandaloni që një përdorues standard të ekzekutojë skripte keqdashëse në nivel lokal, por prapëseprapë lejoni që llogaritë e privilegjuara të përdorin PowerShell për detyra menaxhimi dhe automatizimi.

JEA kundrejt metodave të tjera të kufizimit të PowerShell

Ka disa mënyra për të kufizuar atë që përdoruesit mund të bëjnë me telekomandimin PowerShell, dhe JEA përshtatet si një opsion më i hollë dhe më fleksibël brenda një game që përfshin qasje më të gjera si:

Nga njëra anë, përdorimi i GPO për të kontrolluar se kush hyn në pikat fundore të parazgjedhura të PowerShellMicrosoft PowerShell mund të kufizohet vetëm për administratorët, ose edhe të çregjistrohet për të gjithë, duke detyruar përdorimin e pikave fundore specifike. Kjo është e dobishme për kufizimin e aksesit në një mënyrë "brute force", por nuk e zgjidh problemin e granularitetit: kushdo që fiton akses mund të bëjë praktikisht çdo gjë.

Nga ana tjetër, ekzistojnë mjete kontrolli të aplikacioneve, të tilla si Politikat e Kufizimit të AppLocker ose SoftueritKëto metoda ju lejojnë të mohoni ekzekutimin e PowerShell.exe ose pwsh.exe për përdoruesit standardë, qoftë nëpërmjet shtegut, botuesit ose hash-it. Kjo qasje është e dobishme për forcimin e stacioneve të punës dhe parandalimin e çdo përdoruesi nga nisja e PowerShell, por paraqet kufizime kur dëshironi që dikush të kryejë detyra të kufizuara administrative nga llogaria e tij e përdoruesit.

Një mundësi tjetër janë Pikat fundore të kufizuara pa arritur JEA të plotëMund të krijoni konfigurime të personalizuara të seancave që kufizojnë cmdlet-et, funksionet dhe modulet, por pa u mbështetur aq shumë te modeli i roleve, llogaritë virtuale ose RBAC-i i strukturuar që ofron JEA. Është një lloj terreni i mesëm i përshtatshëm për skenarë të thjeshtë, por më pak i shkallëzueshëm në mjedise të mëdha.

JEA kombinon më të mirën e disa botëve: kufizim i rreptë i komandave, RBAC, ekzekutim i kontrolluar i privilegjeve të larta dhe regjistrim gjithëpërfshirësKjo e bën atë zgjidhjen e rekomanduar kur duhet të aktivizoni largimin e PowerShell për jo-administratorët, por pa u dhënë atyre një mjedis të plotë menaxhimi.

Karakteristika të përparuara: ekzekuto si një llogari tjetër dhe identifikohu

Një nga aftësitë më të fuqishme të JEA-s është ekzekutoni komandat si një llogari tjetër, më të privilegjuar, pa ekspozuar kredencialet tuajaKjo zgjidh problemin tipik të "Do t'ju jap fjalëkalimin për këtë shërbim që të mund të bëni X", i cili më pas nuk ndryshohet kurrë dhe përfundon duke qenë një rrezik i madh.

Skenarët e domenit përdoren zakonisht Llogaritë e Shërbimeve të Menaxhuara në Grup (gMSA) Kjo u lejon pikave fundore të JEA-s të ekzekutojnë veprime sipas një identiteti shërbimi të menaxhuar në mënyrë qendrore, me rotacion automatik të fjalëkalimit dhe pa e ditur ndonjëherë sekretin asnjë operator. Në raste të tjera, përdoren llogari virtuale të përkohshme lokale në makinë, të krijuara ad hoc kur një përdorues lidhet dhe shkatërrohen në fund të seancës.

Nga perspektiva e auditimit, çdo seancë JEA mund të konfigurohet për të gjeneroni transkripte PowerShell dhe hyrje të pasura në regjistrin e ngjarjeveInformacioni që mblidhet zakonisht përfshin:

• Historiku i plotë i komandave dhe parametrave të futur.
• Rezultati i gjeneruar dhe mesazhet e gabimit.
• Vula kohore e fillimit dhe e mbarimit të seancës, si dhe kohëzgjatja e saj.
• Identiteti i përdoruesit të kyçur dhe roli/kapaciteti i caktuar.

Nëse i kombinoni këto gjurmë me funksionalitete të Regjistrimi i Modulit PowerShell dhe Dorëshkrim Blloko regjistrimin nëpërmjet GPO-sëDhe duke dërguar regjistrat në një SIEM, ju fitoni një pamje të fortë të asaj që po ndodh në pikat tuaja të menaxhimit. Kjo është thelbësore si për pajtueshmërinë (auditimet SOX, ISO 27001, etj.) ashtu edhe për zbulimin dhe reagimin ndaj incidenteve.

Rastet tipike të përdorimit të JEA-së në mjedise të botës reale

JEA shkëlqen veçanërisht kur keni nevojë Delegimi i detyrave shumë specifike te ekipet që nuk duhet të jenë administratorëDisa shembuj shumë të zakonshëm në praktikë janë:

Në fushën e mbështetjes teknike, ju mund të ofroni teknikë të nivelit të lartë Qasje JEA për të rifilluar shërbimet, për të parë regjistrat e ngjarjeve dhe për të kontrolluar statusin e procesit në servera, por pa aftësinë për të instaluar softuer, për të modifikuar konfigurimet kritike ose për të aksesuar Active Directory. Një rol tipik i ndihmës teknike mund të përfshijë cmdlet-e të tilla si Get-Service, Restart-Service për shërbime specifike, Get-EventLog në modalitetin vetëm për lexim dhe disa cmdlet-e diagnostikuese të rrjetit.

Në ekipet e operacioneve ose të zhvillimit, mund të konfiguroni role të fokusuara në detyra specifike siç janë administrimi i IIS ose mirëmbajtja e faqes së internetitPër shembull, lejimi i aksesit në cmdlet-et e menaxhimit të Application Pool, rinisjet e faqeve të internetit, kërkesa për regjistra nga një drejtori e kufizuar dhe menaxhimi i certifikatave për shërbime specifike, duke përjashtuar çdo mundësi për të rinisur të gjithë serverin ose për të modifikuar politikat e sigurisë.

Në mjediset hibride dhe cloud, JEA përdoret shpesh për kufizojnë atë që secili ekip mund të bëjë rreth makina virtuale, ruajtje ose rrjetetMund të ekspozoni pikat fundore që ju lejojnë të menaxhoni vetëm makinat virtuale të një departamenti, të modifikoni rregullat e firewall-it të një segmenti specifik ose të menaxhoni një grup specifik llogarish shërbimesh, duke e mbajtur aksesin të ndarë nga pjesa tjetër e infrastrukturës.

Në të njëjtën kohë, JEA përshtatet shumë mirë me Strategjitë e Menaxhimit të Qasjes së Privilegjuar (PAM)ku seancat e privilegjuara jepen përkohësisht, regjistrohen dhe i atribuohen identiteteve personale, duke shmangur llogaritë e përbashkëta dhe duke minimizuar rrezikun e lidhur me çdo veprim të privilegjuar.

Artikulli i lidhur:

Si të kufizoni aksesin në dosjet e përbashkëta në Windows hap pas hapi

Isaac

Shkrimtar i apasionuar pas botës së bajteve dhe teknologjisë në përgjithësi. Më pëlqen të ndaj njohuritë e mia përmes shkrimit, dhe kjo është ajo që do të bëj në këtë blog, duke ju treguar të gjitha gjërat më interesante në lidhje me pajisjet, softuerin, harduerin, tendencat teknologjike dhe më shumë. Qëllimi im është t'ju ndihmoj të lundroni në botën dixhitale në një mënyrë të thjeshtë dhe argëtuese.