- JEA примењује принцип најмањих привилегија у ПоверСхелл удаљени рад, смањење броја налога са повећаним привилегијама и ограничавање командлета доступних за сваку улогу.
- Комбинација .psrc и .pssc датотека вам омогућава да дефинишете могућности улога, ограничене крајње тачке, виртуелне налоге и детаљне транскрипте за комплетну ревизију.
- У поређењу са приступима попут GPO, AppLocker или генеричких крајњих тачака, JEA нуди много детаљнију контролу и робустан RBAC модел за делегирање задатака без откривања привилегованих акредитива.
- Његова исправна имплементација захтева пажљиво дизајнирање улога, тестирање и континуирано одржавање, али пружа значајно повећање безбедности без жртвовања продуктивности.
Употреба PowerShell даљинског управљања постала је готово неопходна у сваком окружењу. виндовс Модерно, али одобравање даљинског приступа без контроле је као остављање кључева од дата центра на столу. Ту игра долази до изражаја. Администрација са довољном одговорношћу (JEA), слој безбедности који вам омогућава да делегирате задатке без давања администраторских права лево и десно.
Са JEA можете подесити веома ограничене удаљене приступне тачке где само одређени корисници покрећу команде које сте овластили, под налозима са више привилегија, али без познавања стварних акредитива или могућности да одступе од сценаријаИ све је то забележено у транскриптима и трупци детаљне које вам затим омогућавају да проверите ко је шта урадио, када и одакле.
Шта је администрација са довољно средстава (JEA) и зашто је важна?
Just-Enough-Administration је безбедносна технологија заснована на PowerShell-у који имплементира делегирани модел администрације са најмањим потребним привилегијама. У пракси, JEA вам омогућава да откријете удаљене крајње тачке где је доступан само затворени скуп cmdlet-ова, функција, скрипти и спољних команди које сте ви дефинисали.
Захваљујући овом приступу, можете драстично смањити број налога са повећаним привилегијама На вашим серверима можете користити виртуелне налоге или групно управљане сервисне налоге (gMSA) који извршавају привилеговане радње у име стандардних корисника. Корисник се пријављује са својим уобичајеним акредитивима и, путем JEA сесије, покреће команде које се извршавају иза сцене са вишим привилегијама.
Још један кључни стуб JEA је способност да да прецизно дефинише шта свака улога може да радиДатотеке могућности улога дефинишу које командлете, прилагођене функције, екстерне команде или PowerShell провајдере види. Остало једноставно не постоји за корисника: не може да импровизује скрипте, слободно се креће по систему датотека или приступа услугама или процесима које нисте навели.
Штавише, све JEA сесије могу бити конфигурисане да генеришу комплетни транскрипти и ревизијски догађајиСнимање команди, параметара, излаза, грешака, идентитета корисника и времена извршавања не само да помаже у испуњавању регулаторних захтева, већ је и непроцењиво приликом истраживања безбедносног инцидента или оперативног квара.
Ризици привилегованих налога и како их JEA ублажава
Локални, доменски или администраторски налози апликација са повећаним дозволама подразумевају један од најозбиљнијих вектора ризика у свакој организацијиАко нападач добије један од ових акредитива, може се кретати бочно кроз мрежу, ескалирати привилегије и добити приступ критичним подацима, кључним услугама или чак оборити читаве системе.
Уклањање привилегија није увек тривијално. Класичан пример је онај од сервер који хостује и DNS и контролер домена Active DirectoryДНС тиму су потребне локалне администраторске привилегије за решавање проблема са ДНС сервисом, али додавање у групу „Администратори домена“ им ефикасно даје контролу над целом шумом и приступ било ком ресурсу на тој машини. Ово је класичан пример жртвовања безбедности зарад оперативне погодности.
JEA решава ову дилему строгом применом принцип најмањих привилегијаУместо да DNS администраторе поставите као администраторе домена, можете креирати наменску DNS JEA крајњу тачку која приказује само командлете потребне за брисање кеша, поновно покретање сервиса, преглед логова или сличне задатке. Ово омогућава оператеру да обавља свој посао без потребе за испитивањем Active Directory-ја, навигацијом кроз систем датотека, покретањем насумичних скрипти или извршавањем потенцијално опасних услужних програма.
Када конфигуришете JEA сесије да користе виртуелни налози са привременим дозволамаОвај потез је још занимљивији: корисник се повезује са непривилегованим акредитивима и, из те сесије, може да извршава задатке који обично захтевају администраторска права. Ово омогућава да се многи корисници уклоне из локалних или доменских администраторских група, одржавајући операције уз значајно јачање површине за напад.
Безбедносни концепти који су у основи JEA
JEA није настао ниоткуда: Заснован је на неколико добро утврђених безбедносних принципа и модела. што му даје кохерентност и робусност. Први је горе поменути принцип најмањих привилегија, који налаже да и корисници и процеси треба да имају само дозволе неопходне за њихове функције.
Други главни стуб је модел Контрола приступа заснована на улогама (RBAC)JEA имплементира RBAC путем датотека са могућностима улога, где дефинишете шта одређена улога може да ради у оквиру удаљене сесије. На пример, улога службе за помоћ може да наводи сервисе, прегледа догађаје и поново покреће одређени сервис, док администраторска улога SQL Server-а може да извршава само cmdlet команде повезане са... базе података и мало више.
La Техничка основа JEA-е је PowerShell и његова инфраструктура за удаљено управљањеPowerShell пружа језик, cmdlets и слој за удаљену комуникацију (WinRM/WS-Management), а JEA додаје систем ограничених крајњих тачака, виртуелних налога и детаљну контролу над доступним командама.
Још један важан концепт је ограничена администрација, слично као а Додељени приступ у режиму киоска у систему Windows 11Уместо да оператеру пружи пуну љуску, JEA конструише сесију у којој је скриптни језик ограничен (подразумевано, NoLanguage), креирање нових функција или променљивих је блокирано, петље и услови су забрањени и дозвољено је извршавање само одобреног скупа cmdlet команди. Ово озбиљно ограничава могућности нападача који успе да добије приступ тој сесији.
Кључне компоненте: .psrc и .pssc датотеке
У сржи сваке JEA имплементације налазе се две врсте датотека: датотеке са могућностима улога (.psrc) и датотеке са конфигурацијом сесије (.pssc)Заједно трансформишу љуску опште намене у савршено прилагођену крајњу тачку за одређене кориснике.
У датотеци са могућностима улоге коју дефинишете које су тачно команде доступне тој улозиМеђу најважнијим елементима су:
- ВисиблеЦмдлетс: листа дозвољених командлета, чак и могућност ограничавања параметара.
- Видљиве функције: прилагођене функције које се учитавају у сесији.
- ВисиблеЕктерналЦоммандс: одређене спољне извршне датотеке којима се приступа.
- Видљиви добављачиPowerShell провајдери (на пример, FileSystem или Registry) видљиви у сесији.
С друге стране, .pssc конфигурационе датотеке сесије Они описују JEA крајњу тачку као такву и повезују је са улогама.Овде су декларисани елементи као што су следећи:
- Дефиниције улога: мапирање корисника или безбедносних група на могућности улога.
- СессионТипе: где је „RestrictedRemoteServer“ обично подешено да ојача сесију.
- ТрансцриптДирецтори: фасцикла у којој се чувају транскрипти сваке сесије.
- РунАсВиртуалАццоунт и повезане опције, као што је да ли се виртуелни налог додаје одређеним групама.
JEA се материјализује у облику PowerShell крајње тачке за удаљено управљање регистроване у системуОве крајње тачке се креирају и омогућавају помоћу командлета као што су Нова датотека конфигурације сесије PSS, Конфигурација сесије регистра PSS или графички алати попут JEA Helper Tool-а, који олакшава генерисање .pssc и .psrc датотека без превише муке са синтаксом.
Животни циклус JEA сесије
Приликом подешавања комплетног JEA окружења, процес обично прати низ логичких корака који Они трансформишу отворени систем за даљинско управљање у строго регулисан.Типичан редослед је:
Прво, креирате а безбедносна група или више група које представљају улоге које желите да делегирате (на пример, HelpdeskDNS, веб оператори, SQL оператори). Коришћење група није обавезно, али знатно поједностављује администрацију како окружење расте.
Затим се припрема један или више датотеке са могућностима улога .psrc Ове листе наводе дозвољене радње: cmdlet-ове, функције, скрипте, спољне команде, алијасе, провајдере и додатна ограничења (одређени параметри, дозвољене путање итд.). Овде, на пример, можете дозволити све cmdlet-ове који почињу са Get-, ограничити Restart-Service на услугу Spooler и ауторизовати само FileSystem провајдера.
Следеће се генерише датотека за конфигурацију сесије .pssc користећи New-PSSessionConfigurationFile. Дефинише опције као што су SessionType = RestrictedRemoteServer, путању TranscriptDirectory, да ли се користе виртуелни налози и блок RoleDefinitions који повезује групе са могућностима улога, на пример, 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
Са већ припремљеном .pssc датотеком, крајња тачка се региструје помоћу Register‑PSSessionConfiguration -Назив JEASession Naziv -Путања Path\File.psscОд тог тренутка, ако су доступне конфигурације наведене помоћу Get-PSSessionConfiguration, нова тачка повезивања ће изгледати спремна за примање веза.
Корисници се повезују на ову крајњу тачку са својих рачунара помоћу Унесите PSSession -ComputerName Server -ConfigurationName JEASession Name или са New-PSSession, а затим Invoke-Command. По уласку, сесија аутоматски примењује ограничења дефинисана у могућностима повезане улоге корисника.
Током седнице, PowerShell даљинско управљање користи WinRM са шифрованим каналимаИнтегрисана аутентификација (обично Kerberos у домену) и правила заштитног зида дефинисана за услугу. У основи овога, ако је омогућено RunAsVirtualAccount, креира се привремени виртуелни налог, додаје се потребним групама и уништава када се сесија заврши.
Коначно, након затварања седнице JEA, Транскрипти и догађаји ревизије се чувају Ови евиденциони записи остављају јасан траг извршених команди, резултата и корисничког контекста. Затим се могу послати или повезати унутар SIEM система ради упозорења и даље анализе.
PowerShell даљински рад, контрола приступа и ојачавање
PowerShell Remoting, који подржава сервис Даљинско управљање Windows-ом (WinRM) WS-Management протокол омогућава централизовано извршавање команди и скрипти на удаљеним рачунарима. То је моћан алат за аутоматизацију, масовно управљање серверима, дебаговање и даљинску подршку.
Уобичајено, локални администратори и чланови групе Корисници за даљинско управљање Могу да користе стандардне PowerShell крајње тачке. У многим окружењима, ова могућност је коришћена да би се корисницима који нису администратори омогућило покретање удаљених задатака, што није само по себи опасно, али ако се не контролише правилно, отвара значајан пут за злоупотребу.
Да би се ојачала безбедносна ситуација, заједничка стратегија укључује Ограничите удаљени приступ PowerShell-у само на администраторске налоге. Или, још боље, комбинујте то ограничење са JEA крајњим тачкама које одређеним корисницима дају само строго неопходан приступ. То се може постићи кроз:
- GPO-ови који дефинишу које групе могу да користе WinRM и подразумеване крајње тачке.
- Правила заштитног зида која дозвољавају WinRM само из подмрежа или рачунара за управљање.
- Уклањање групе Корисници за удаљено управљање са ACL-ова стандардних крајњих тачака.
Поред тога, можете изабрати да Потпуно блокирајте PowerShell за кориснике који нису администратори коришћењем решења као што је AppLocker. На овај начин спречавате стандардног корисника да локално покреће злонамерне скрипте, али и даље дозвољавате привилегованим налозима да користе PowerShell за задатке управљања и аутоматизације.
JEA у односу на друге PowerShell методе ограничења
Постоји неколико начина да се ограничи шта корисници могу да раде са PowerShell даљинским управљањем, и JEA одговара као тања и флексибилнија опција у оквиру распона који обухвата шире приступе као што су:
С једне стране, употреба GPO за контролу ко улази у подразумеване PowerShell крајње тачкеMicrosoft PowerShell може бити ограничен на администраторе, или чак нерегистрован за све, што приморава на коришћење одређених крајњих тачака. Ово је корисно за ограничавање приступа на начин „грубе силе“, али не решава проблем грануларности: ко год добије приступ може да уради практично све.
С друге стране, постоје алати за контролу апликација као што су Политике за AppLocker или ограничења софтвераОве методе вам омогућавају да забраните извршавање PowerShell.exe или pwsh.exe стандардним корисницима, било путем путање, издавача или хеша. Овај приступ је користан за заштитну заштиту радних станица и спречавање било ког корисника да покрене PowerShell, али представља ограничења када желите да неко обавља ограничене административне задатке са свог корисничког налога.
Друга опција су Ограничене крајње тачке без достизања пуног JEAМожете креирати прилагођене конфигурације сесија које ограничавају командлете, функције и модуле, али без толиког ослањања на модел улоге, виртуелне налоге или структурирани RBAC који JEA пружа. То је нека врста средњег решења погодног за једноставне сценарије, али мање скалабилног у великим окружењима.
JEA комбинује најбоље из неколико светова: строго ограничење команди, RBAC, контролисано извршавање са повишеним привилегијама и свеобухватно евидентирањеЗбог тога је то препоручено решење када треба да омогућите PowerShell даљинско управљање за кориснике који нису администратори, али без пружања им комплетног окружења за управљање.
Напредне функције: покрени као други налог и евидентирај
Једна од најмоћнијих могућности JEA је извршавајте команде као други, привилегованији налог без откривања ваших акредитиваОво решава типичан проблем „Даћу ти лозинку за ову услугу да можеш да урадиш X“, који се онда никада не мења и на крају представља огроман ризик.
Сценарији домена се често користе Групни управљани сервисни налози (gMSA) Ово омогућава JEA крајњим тачкама да извршавају акције под централно управљаним идентитетом услуге, са аутоматском ротацијом лозинке и без икаквог сазнања тајне лозинке од стране било ког оператера. У другим случајевима, користе се привремени виртуелни налози локални за машину, креирани ад хок када се корисник повеже и уништавајући се на крају сесије.
Са становишта ревизије, свака JEA сесија може бити конфигурисана да генеришите и PowerShell транскрипте и богате записе у дневнику догађајаИнформације које се обично прикупљају укључују:
- Комплетна историја команди и унетих параметара.
- Генерисани излаз и поруке о грешкама.
- Временска ознака почетка и краја сесије, као и њено трајање.
- Идентитет пријављеног корисника и додељена улога/капацитет.
Ако комбинујете ове трагове са функционалностима Пријављивање PowerShell модула и Скрипта Блокирање евидентирања путем GPO-аСлањем логова у SIEM систем, добијате робустан увид у то шта се дешава на вашим управљачким крајњим тачкама. Ово је кључно и за усклађеност (SOX ревизије, ISO 27001, итд.) и за откривање и реаговање на инциденте.
Типични случајеви употребе JEA у реалним окружењима
JEA блиста посебно када вам је потребно Делегирање веома специфичних задатака тимовима који не би требало да буду администраториНеки веома чести примери у пракси су:
У области техничке подршке, можете пружити врхунским техничарима JEA приступ за поновно покретање услуга, преглед дневника догађаја и проверу статуса процеса на серверима, али без могућности инсталирања софтвера, измене критичних конфигурација или приступа Active Directory-ју. Типична улога службе за помоћ може да укључује командлете као што су Get-Service, Restart-Service за одређене сервисе, Get-EventLog у режиму само за читање и неке командлете за дијагностику мреже.
У оперативним или развојним тимовима можете конфигурисати улоге усмерене на специфичне задатке као што су администрација IIS-а или одржавање веб страницеНа пример, омогућавање приступа командлет командама за управљање базом апликација, поновно покретање веб-сајтова, упитивање логова из ограниченог директоријума и управљање сертификатима за одређене сервисе, уз искључивање било какве могућности поновног покретања целог сервера или измене безбедносних политика.
У хибридним и облачним окружењима, JEA се често користи за ограничити шта сваки тим може да уради у вези са виртуелне машине, складиштење или мрежеМожете открити крајње тачке које вам омогућавају да управљате само виртуелним машинама једног одељења, мењате правила заштитног зида одређеног сегмента или управљате одређеним скупом сервисних налога, држећи приступ одвојеним од остатка инфраструктуре.
Истовремено, JEA се веома добро уклапа са Стратегије управљања привилегованим приступом (PAM)где се привилеговане сесије додељују привремено, евидентирају и приписују личним идентитетима, избегавајући дељене налоге и минимизирајући ризик повезан са сваком привилегованом акцијом.
Страствени писац о свету бајтова и технологије уопште. Волим да делим своје знање кроз писање, и то је оно што ћу радити на овом блогу, показивати вам све најзанимљивије ствари о гаџетима, софтверу, хардверу, технолошким трендовима и још много тога. Мој циљ је да вам помогнем да се крећете у дигиталном свету на једноставан и забаван начин.