- JEA áp dụng nguyên tắc đặc quyền tối thiểu trong PowerShell Điều này bao gồm việc giảm số lượng tài khoản có quyền quản trị và giới hạn các cmdlet khả dụng cho mỗi vai trò.
- Sự kết hợp giữa các tệp .psrc và .pssc cho phép bạn xác định quyền hạn của vai trò, các điểm cuối bị hạn chế, tài khoản ảo và bản ghi chi tiết để thực hiện kiểm toán đầy đủ.
- So với các phương pháp như GPO, AppLocker hoặc các điểm cuối chung, JEA cung cấp khả năng kiểm soát chi tiết hơn nhiều và mô hình RBAC mạnh mẽ để phân công nhiệm vụ mà không làm lộ thông tin đăng nhập có đặc quyền.
- Việc triển khai đúng cách đòi hỏi thiết kế vai trò cẩn thận, thử nghiệm và bảo trì liên tục, nhưng nó mang lại sự tăng cường đáng kể về bảo mật mà không làm giảm năng suất.
Việc sử dụng PowerShell remoting đã trở nên gần như không thể thiếu trong bất kỳ môi trường nào. Cửa sổ Công nghệ hiện đại, nhưng việc cấp quyền truy cập từ xa mà không kiểm soát được hành vi của nhân viên cũng giống như để chìa khóa trung tâm dữ liệu trên bàn. Đây chính là điểm mấu chốt của trò chơi. Quản lý vừa đủ (Just-Enough-Administration - JEA), một lớp bảo mật cho phép bạn ủy quyền nhiệm vụ mà không cần trao quyền quản trị một cách tùy tiện.
Với JEA, bạn có thể thiết lập các điểm truy cập từ xa có giới hạn rất cao, nơi chỉ những người dùng cụ thể mới có thể chạy các tác vụ nhất định. lệnh mà bạn đã ủy quyền, theo các tài khoản có nhiều quyền hạn hơn, nhưng mà không biết thông tin xác thực thực sự hoặc không thể thay đổi kịch bản.Tất cả những điều này đều được ghi lại trong biên bản và các bản ghi Những chi tiết này cho phép bạn kiểm tra xem ai đã làm gì, khi nào và từ đâu.
Quản lý vừa đủ (Just-Enough-Administration - JEA) là gì và tại sao nó lại quan trọng?
Just-Enough-Administration là một công nghệ bảo mật dựa trên PowerShell. JEA triển khai mô hình quản trị được ủy quyền với quyền hạn tối thiểu cần thiết. Trên thực tế, JEA cho phép bạn truy cập các điểm cuối từ xa, nơi chỉ có một tập hợp các cmdlet, hàm, tập lệnh và lệnh bên ngoài do bạn định nghĩa mới khả dụng.
Nhờ phương pháp này, bạn có thể Giảm mạnh số lượng tài khoản có quyền hạn cao. Trên máy chủ của bạn, bạn có thể sử dụng tài khoản ảo hoặc tài khoản dịch vụ được quản lý theo nhóm (gMSA) để thực thi các hành động có đặc quyền thay mặt cho người dùng thông thường. Người dùng đăng nhập bằng thông tin đăng nhập thông thường của họ và, thông qua phiên JEA, khởi chạy các lệnh được thực thi ngầm với quyền hạn cao hơn.
Một trụ cột quan trọng khác của JEA là khả năng để xác định chính xác những gì mỗi vai trò có thể làmCác tệp cấu hình quyền hạn vai trò xác định những cmdlet, hàm tùy chỉnh, lệnh bên ngoài hoặc nhà cung cấp PowerShell nào được hiển thị. Phần còn lại đơn giản là không tồn tại đối với người dùng: họ không thể tự ý viết kịch bản, tự do điều hướng hệ thống tệp hoặc truy cập các dịch vụ hoặc quy trình mà bạn chưa chỉ định.
Hơn nữa, tất cả các phiên JEA đều có thể được cấu hình để tạo ra bản sao đầy đủ và các sự kiện kiểm toánViệc ghi lại các lệnh, tham số, kết quả đầu ra, lỗi, danh tính người dùng và thời gian thực thi không chỉ giúp đáp ứng các yêu cầu pháp lý mà còn vô cùng hữu ích khi điều tra sự cố bảo mật hoặc lỗi vận hành.
Rủi ro của các tài khoản đặc quyền và cách JEA giảm thiểu chúng.
Các tài khoản quản trị viên cục bộ, miền hoặc ứng dụng có quyền hạn cao hơn ngụ ý rằng... một trong những yếu tố rủi ro nghiêm trọng nhất trong bất kỳ tổ chức nào.Nếu kẻ tấn công có được một trong những thông tin đăng nhập này, chúng có thể di chuyển ngang qua mạng, leo thang đặc quyền và truy cập vào dữ liệu quan trọng, các dịch vụ thiết yếu, hoặc thậm chí làm sập toàn bộ hệ thống.
Việc tước bỏ quyền hạn không phải lúc nào cũng đơn giản. Một ví dụ điển hình là trường hợp... một máy chủ lưu trữ cả DNS và bộ điều khiển miền Active DirectoryNhóm DNS cần quyền quản trị viên cục bộ để khắc phục sự cố dịch vụ DNS, nhưng việc thêm họ vào nhóm Quản trị viên Miền (Domain Admins) lại trao cho họ quyền kiểm soát toàn bộ hệ thống miền và quyền truy cập vào bất kỳ tài nguyên nào trên máy đó. Đây là một ví dụ điển hình về việc hy sinh bảo mật để đổi lấy sự thuận tiện trong vận hành.
JEA giải quyết vấn đề nan giải này bằng cách áp dụng nghiêm ngặt... nguyên tắc đặc quyền tối thiểuThay vì cấp quyền quản trị DNS cho quản trị viên miền, bạn có thể tạo một điểm cuối JEA DNS chuyên dụng chỉ hiển thị các lệnh cần thiết để xóa bộ nhớ cache, khởi động lại dịch vụ, xem nhật ký hoặc các tác vụ tương tự. Điều này cho phép người vận hành thực hiện công việc của họ mà không cần phải kiểm tra Active Directory, điều hướng hệ thống tệp, chạy các tập lệnh ngẫu nhiên hoặc thực thi các tiện ích có khả năng nguy hiểm.
Khi bạn cấu hình các phiên JEA để sử dụng tài khoản ảo với quyền hạn tạm thờiĐộng thái này thậm chí còn thú vị hơn: người dùng kết nối bằng thông tin đăng nhập không có đặc quyền và từ phiên đó, có thể thực hiện các tác vụ mà thông thường yêu cầu quyền quản trị viên. Điều này cho phép loại bỏ nhiều người dùng khỏi nhóm quản trị viên cục bộ hoặc miền, duy trì hoạt động trong khi tăng cường đáng kể bề mặt tấn công.
Các khái niệm bảo mật làm nền tảng cho JEA
JEA không tự nhiên mà có: Nó dựa trên một số nguyên tắc và mô hình bảo mật đã được thiết lập vững chắc. Điều này mang lại tính mạch lạc và mạnh mẽ cho hệ thống. Đầu tiên là nguyên tắc đặc quyền tối thiểu đã đề cập ở trên, quy định rằng cả người dùng và quy trình chỉ nên có các quyền cần thiết cho chức năng của chúng.
Trụ cột chính thứ hai là mô hình của Kiểm soát truy cập dựa trên vai trò (RBAC)JEA triển khai RBAC thông qua các tệp khả năng vai trò, nơi bạn xác định những gì một vai trò cụ thể có thể làm trong một phiên làm việc từ xa. Ví dụ, vai trò hỗ trợ kỹ thuật có thể liệt kê các dịch vụ, xem sự kiện và khởi động lại một dịch vụ cụ thể, trong khi vai trò quản trị SQL Server chỉ có thể thực thi các lệnh cmdlet liên quan đến... cơ sở dữ liệu và hơn thế nữa.
La Nền tảng kỹ thuật của JEA là PowerShell và cơ sở hạ tầng điều khiển từ xa của nó.PowerShell cung cấp ngôn ngữ, các cmdlet và lớp giao tiếp từ xa (WinRM/WS-Management), còn JEA bổ sung thêm một hệ thống các điểm cuối bị hạn chế, tài khoản ảo và khả năng kiểm soát chi tiết hơn về các lệnh được phép sử dụng.
Một khái niệm quan trọng khác là quản lý hạn chế, tương tự như một Quyền truy cập được chỉ định trong chế độ kiosk của Windows 11Thay vì cấp cho người điều hành quyền truy cập đầy đủ vào shell, JEA tạo ra một phiên làm việc trong đó ngôn ngữ lập trình bị hạn chế (mặc định là NoLanguage), việc tạo các hàm hoặc biến mới bị chặn, vòng lặp và câu lệnh điều kiện bị cấm, và chỉ cho phép thực thi một tập hợp các cmdlet được phê duyệt. Điều này hạn chế nghiêm trọng khả năng của kẻ tấn công nếu chúng tìm cách truy cập vào phiên làm việc đó.
Các thành phần chính: các tệp .psrc và .pssc
Cốt lõi của bất kỳ triển khai JEA nào đều bao gồm hai loại tệp: các tệp khả năng vai trò (.psrc) và các tệp cấu hình phiên (.pssc)Cả hai cùng nhau biến một giao diện đa năng thành một điểm cuối được tùy chỉnh hoàn hảo cho người dùng cụ thể.
Trong tệp khả năng vai trò, bạn định nghĩa... Chính xác những lệnh nào có sẵn cho vai trò đóTrong số những yếu tố quan trọng nhất là:
- Lệnh ghép ngắn hiển thị: Danh sách các cmdlet được cho phép, thậm chí có thể hạn chế các tham số.
- Các chức năng hiển thị: các hàm tùy chỉnh được tải trong phiên.
- Lệnh hiển thị bên ngoài: các tệp thực thi bên ngoài cụ thể được truy cập.
- Nhà cung cấp có thể nhìn thấyCác nhà cung cấp PowerShell (ví dụ: FileSystem hoặc Registry) hiển thị trong phiên làm việc.
Mặt khác, các tệp cấu hình phiên .pssc, Họ mô tả điểm cuối JEA như vậy và liên kết nó với các vai trò.Các phần tử như sau được khai báo ở đây:
- Định nghĩa vai tròÁnh xạ người dùng hoặc nhóm bảo mật với các quyền hạn của vai trò.
- Loại phiên: trong đó 'RestrictedRemoteServer' thường được thiết lập để tăng cường bảo mật cho phiên làm việc.
- Bảng điểmThư mục: thư mục lưu trữ bản ghi chép của mỗi phiên họp.
- Tài khoản RunAsVirtual và các tùy chọn liên quan, chẳng hạn như liệu tài khoản ảo có được thêm vào các nhóm cụ thể hay không.
JEA hiện thực hóa dưới dạng Các điểm cuối điều khiển từ xa PowerShell được đăng ký trong hệ thống.Các điểm cuối này được tạo và kích hoạt bằng các cmdlet như sau: Tệp cấu hình phiên PS mới, Đăng ký cấu hình phiên PS hoặc các công cụ đồ họa như JEA Helper Tool, giúp việc tạo các tệp .pssc và .psrc dễ dàng hơn mà không cần phải vật lộn quá nhiều với cú pháp.
vòng đời phiên JEA
Khi thiết lập một môi trường JEA hoàn chỉnh, quy trình thường tuân theo một loạt các bước logic. Chúng biến một hệ thống điều khiển từ xa mở thành một hệ thống được quản lý chặt chẽ.Trình tự điển hình là:
Đầu tiên, bạn tạo một nhóm bảo mật hoặc nhiều nhóm Các nhóm này đại diện cho các vai trò bạn muốn phân quyền (ví dụ: HelpdeskDNS, Web Operators, SQL Operators). Việc sử dụng nhóm không bắt buộc, nhưng nó giúp việc quản trị trở nên đơn giản hơn nhiều khi môi trường phát triển.
Sau đó, một hoặc nhiều thiết bị được chuẩn bị. các tệp khả năng vai trò .psrc Danh sách này liệt kê các hành động được cho phép: cmdlet, hàm, tập lệnh, lệnh bên ngoài, bí danh, nhà cung cấp và các hạn chế bổ sung (tham số cụ thể, đường dẫn được cho phép, v.v.). Ví dụ, ở đây bạn có thể cho phép tất cả các cmdlet bắt đầu bằng Get-, hạn chế Restart-Service chỉ cho phép dịch vụ Spooler và chỉ cho phép nhà cung cấp FileSystem.
Đoạn mã sau được tạo ra tệp cấu hình phiên .pssc Sử dụng lệnh New-PSSessionConfigurationFile. Lệnh này định nghĩa các tùy chọn như SessionType = RestrictedRemoteServer, đường dẫn TranscriptDirectory, liệu có sử dụng tài khoản ảo hay không, và khối RoleDefinitions liên kết các nhóm với khả năng của vai trò, ví dụ: 'DOMAIN\HelpdeskDNS' = @{ RoleCapabilities = 'HelpdeskDNSRole' }.
Với tệp .pssc đã được chuẩn bị sẵn, điểm cuối được đăng ký bằng cách sử dụng Register‑PSSessionConfiguration -Name JEASession Name -Path Path\File.psscKể từ thời điểm đó, nếu các cấu hình khả dụng được liệt kê bằng lệnh Get-PSSessionConfiguration, điểm kết nối mới sẽ xuất hiện ở trạng thái sẵn sàng nhận kết nối.
Người dùng kết nối với điểm cuối này từ máy tính của họ bằng Enter‑PSSession -ComputerName Server -ConfigurationName JEASession Name hoặc bằng cách sử dụng New-PSSession rồi Invoke-Command. Khi vào phiên, các hạn chế được định nghĩa trong khả năng vai trò liên kết của người dùng sẽ tự động được áp dụng.
Trong phiên, PowerShell remoting sử dụng WinRM với các kênh được mã hóa.Hệ thống này tích hợp xác thực (thường là Kerberos trong miền) và các quy tắc tường lửa được định nghĩa cho dịch vụ. Về cơ bản, nếu RunAsVirtualAccount được bật, một tài khoản ảo tạm thời sẽ được tạo, thêm vào các nhóm cần thiết và bị hủy khi phiên kết thúc.
Cuối cùng, khi kết thúc phiên họp JEA, Biên bản kiểm toán và các sự kiện được lưu lại. Các nhật ký này để lại dấu vết rõ ràng về các lệnh đã thực thi, kết quả và ngữ cảnh người dùng. Sau đó, chúng có thể được gửi đến hoặc đối chiếu trong hệ thống SIEM để cảnh báo và phân tích sâu hơn.
Điều khiển từ xa PowerShell, kiểm soát truy cập và bảo mật.
PowerShell Remoting, được hỗ trợ bởi dịch vụ này. Quản lý từ xa Windows (WinRM) Giao thức WS-Management cho phép thực thi tập trung các lệnh và tập lệnh trên các máy tính từ xa. Đây là một công cụ mạnh mẽ用于 tự động hóa, quản lý máy chủ hàng loạt, gỡ lỗi và hỗ trợ từ xa.
Mặc định, các quản trị viên địa phương và các thành viên của nhóm Người dùng Quản lý Từ xa Họ có thể sử dụng các điểm cuối PowerShell tiêu chuẩn. Trong nhiều môi trường, khả năng này đã được sử dụng để cho phép người dùng không có quyền quản trị chạy các tác vụ từ xa, điều này không nguy hiểm về bản chất, nhưng nếu không được kiểm soát đúng cách, nó sẽ mở ra một con đường đáng kể cho việc lạm dụng.
Để tăng cường khả năng an ninh, một chiến lược phổ biến bao gồm: Chỉ cho phép các tài khoản quản trị viên truy cập PowerShell từ xa. Hoặc, thậm chí tốt hơn nữa, hãy kết hợp giới hạn đó với các điểm cuối JEA chỉ cấp cho một số người dùng nhất định quyền truy cập cần thiết. Điều này có thể đạt được thông qua:
- Các chính sách nhóm (GPO) xác định nhóm nào có thể sử dụng WinRM và các điểm cuối mặc định.
- Các quy tắc tường lửa cho phép WinRM chỉ từ các mạng con hoặc máy tính quản trị.
- Loại bỏ nhóm Người dùng Quản lý Từ xa khỏi danh sách kiểm soát truy cập (ACL) của các thiết bị đầu cuối tiêu chuẩn.
Ngoài ra, bạn có thể lựa chọn Chặn hoàn toàn PowerShell đối với người dùng không có quyền quản trị. Sử dụng các giải pháp như AppLocker. Bằng cách này, bạn ngăn người dùng thông thường chạy các tập lệnh độc hại cục bộ, nhưng vẫn cho phép các tài khoản có đặc quyền sử dụng PowerShell cho các tác vụ quản lý và tự động hóa.
JEA so với các phương pháp hạn chế khác của PowerShell
Có một số cách để hạn chế những gì người dùng có thể làm với tính năng điều khiển từ xa PowerShell, và JEA là lựa chọn mỏng nhẹ và linh hoạt hơn. trong phạm vi bao gồm các phương pháp tiếp cận rộng hơn như:
Một mặt, việc sử dụng GPO để kiểm soát ai có thể truy cập vào các điểm cuối PowerShell mặc định.Microsoft PowerShell có thể được giới hạn chỉ cho quản trị viên, hoặc thậm chí bị hủy đăng ký đối với tất cả mọi người, buộc phải sử dụng các điểm cuối cụ thể. Điều này hữu ích để hạn chế quyền truy cập theo kiểu "tấn công vét cạn", nhưng nó không giải quyết được vấn đề về độ chi tiết: bất cứ ai có quyền truy cập đều có thể làm hầu như bất cứ điều gì.
Mặt khác, có những công cụ kiểm soát ứng dụng như... Chính sách AppLocker hoặc Hạn chế Phần mềmCác phương pháp này cho phép bạn từ chối việc thực thi PowerShell.exe hoặc pwsh.exe đối với người dùng thông thường, bằng cách sử dụng đường dẫn, nhà phát hành hoặc mã băm. Cách tiếp cận này hữu ích để tăng cường bảo mật cho các máy trạm và ngăn chặn bất kỳ người dùng nào khởi chạy PowerShell, nhưng nó lại có những hạn chế khi bạn muốn ai đó thực hiện các tác vụ quản trị hạn chế từ tài khoản người dùng của họ.
Một lựa chọn khác là Các điểm cuối bị hạn chế mà không đạt được JEA đầy đủBạn có thể tạo cấu hình phiên tùy chỉnh để hạn chế các cmdlet, hàm và mô-đun, nhưng không cần phụ thuộc quá nhiều vào mô hình vai trò, tài khoản ảo hoặc RBAC có cấu trúc mà JEA cung cấp. Đó là một giải pháp trung gian phù hợp cho các trường hợp đơn giản, nhưng kém khả năng mở rộng trong môi trường lớn.
JEA kết hợp những ưu điểm tốt nhất của nhiều lĩnh vực: Giới hạn lệnh nghiêm ngặt, RBAC, thực thi quyền nâng cao có kiểm soát và ghi nhật ký toàn diện.Điều này khiến nó trở thành giải pháp được khuyến nghị khi bạn cần bật tính năng điều khiển từ xa PowerShell cho người dùng không phải quản trị viên, nhưng không cung cấp cho họ môi trường quản lý hoàn chỉnh.
Tính năng nâng cao: chạy bằng tài khoản khác và đăng nhập
Một trong những khả năng mạnh mẽ nhất của JEA là... Thực thi các lệnh với tư cách là một tài khoản khác có quyền hạn cao hơn mà không làm lộ thông tin đăng nhập của bạn.Điều này giải quyết vấn đề thường gặp là "Tôi sẽ đưa cho bạn mật khẩu của dịch vụ này để bạn có thể làm X", nhưng sau đó mật khẩu lại không bao giờ được thay đổi và cuối cùng trở thành một rủi ro rất lớn.
Các kịch bản miền thường được sử dụng Tài khoản dịch vụ quản lý nhóm (gMSA) Điều này cho phép các điểm cuối JEA thực hiện các hành động dưới một danh tính dịch vụ được quản lý tập trung, với tính năng tự động xoay vòng mật khẩu và không cần bất kỳ người vận hành nào biết được mật khẩu bí mật. Trong các trường hợp khác, các tài khoản ảo tạm thời cục bộ trên máy được sử dụng, được tạo ra khi người dùng kết nối và bị hủy bỏ khi kết thúc phiên.
Từ góc độ kiểm toán, mỗi phiên JEA có thể được cấu hình để Tạo cả bản ghi PowerShell và các mục nhật ký sự kiện chi tiết.Thông tin thường được thu thập bao gồm:
- Lịch sử đầy đủ các lệnh và tham số đã nhập.
- Kết quả đầu ra và thông báo lỗi.
- Thời điểm bắt đầu và kết thúc phiên, cũng như thời lượng của phiên.
- Thông tin nhận dạng của người dùng đã đăng nhập và vai trò/quyền hạn được chỉ định.
Nếu bạn kết hợp những dấu vết này với các chức năng của Ghi nhật ký mô-đun PowerShell và Script Chặn ghi nhật ký thông qua GPOBằng cách gửi nhật ký đến hệ thống SIEM, bạn sẽ có được cái nhìn toàn diện về những gì đang xảy ra trên các điểm cuối quản lý của mình. Điều này rất quan trọng đối với cả việc tuân thủ quy định (kiểm toán SOX, ISO 27001, v.v.) và phát hiện cũng như ứng phó sự cố.
Các trường hợp sử dụng JEA điển hình trong môi trường thực tế.
JEA đặc biệt tỏa sáng khi bạn cần Giao phó những nhiệm vụ rất cụ thể cho các nhóm không nên là người quản lý.Một số ví dụ rất phổ biến trong thực tế là:
Trong khu vực hỗ trợ kỹ thuật, bạn có thể cung cấp các kỹ thuật viên cấp cao. JEA cho phép truy cập để khởi động lại dịch vụ, xem nhật ký sự kiện và kiểm tra trạng thái quy trình. Trên máy chủ, nhưng không có khả năng cài đặt phần mềm, sửa đổi cấu hình quan trọng hoặc truy cập Active Directory. Một vai trò hỗ trợ kỹ thuật điển hình có thể bao gồm các lệnh cmdlet như Get-Service, Restart-Service cho các dịch vụ cụ thể, Get-EventLog ở chế độ chỉ đọc và một số lệnh cmdlet chẩn đoán mạng.
Trong các nhóm vận hành hoặc phát triển, bạn có thể cấu hình các vị trí tập trung vào các nhiệm vụ cụ thể như quản trị IIS hoặc bảo trì trang webVí dụ, cho phép truy cập vào các lệnh cmdlet quản lý Application Pool, khởi động lại trang web, truy vấn nhật ký từ một thư mục giới hạn và quản lý chứng chỉ cho các dịch vụ cụ thể, đồng thời loại trừ mọi khả năng khởi động lại toàn bộ máy chủ hoặc sửa đổi các chính sách bảo mật.
Trong môi trường lai và điện toán đám mây, JEA thường được sử dụng cho giới hạn những gì mỗi đội có thể làm về máy ảo, lưu trữ hoặc mạngBạn có thể thiết lập các điểm cuối cho phép bạn chỉ quản lý các máy ảo của một phòng ban, sửa đổi các quy tắc tường lửa của một phân đoạn cụ thể hoặc quản lý một tập hợp tài khoản dịch vụ cụ thể, giữ cho quyền truy cập tách biệt khỏi phần còn lại của cơ sở hạ tầng.
Đồng thời, JEA rất phù hợp với Chiến lược quản lý quyền truy cập đặc quyền (PAM)Trong đó, các phiên truy cập đặc quyền được cấp tạm thời, ghi nhật ký và gán cho danh tính cá nhân, tránh việc dùng chung tài khoản và giảm thiểu rủi ro liên quan đến mỗi hành động có đặc quyền.
Người viết đam mê về thế giới byte và công nghệ nói chung. Tôi thích chia sẻ kiến thức của mình thông qua viết lách và đó là những gì tôi sẽ làm trong blog này, cho bạn thấy tất cả những điều thú vị nhất về tiện ích, phần mềm, phần cứng, xu hướng công nghệ, v.v. Mục tiêu của tôi là giúp bạn điều hướng thế giới kỹ thuật số một cách đơn giản và thú vị.