Дополнительные сведения о Just Enough Administration (JEA) в Windows Server 2016
Just Enough Administration, также известная как JEA, — это новая функция, предлагаемая в Windows Server 2016, которую я хотел бы рассматривать как более низкоуровневую версию знаменитого Linux sudo и как Microsoft называет уровень «наименьших привилегий».
Что такое ЯЭА ?
Используя сценарии PowerShell, JEA представляет собой функцию безопасности на основе ролей, которая снижает уровень администраторов высокого уровня в вашей среде, делегируя только абсолютно важные задачи администраторам более низкого уровня, которым требуются определенные привилегии для выполнения своей работы.
[tg_youtube video_id="xnBrbkY9P20"]
Как видно из приведенного выше примера, представьте, что вам нужно исправить отравленный кеш DNS. Вы можете войти в систему как администратор через PowerShell, чтобы получить доступ к разрешениям DNS, но есть неотъемлемый риск быть администратором только для этой единственной задачи по исправлению кэша DNS.
В конце концов, бинарный характер администрирования в Windows Server на сегодняшний день означает, что все довольно черно-белое: либо вы администратор, либо нет.
Между ними нет.
До сих пор это была глупая идея, если вы спросите меня. Администратор, безусловно, может исправить кеш DNS, который ему было велено восстановить, но он также может установить вредоносное ПО, программное обеспечение для регистрации ключей или нанести ущерб большой сети. Никто не хочет брать на себя этот риск, и те засыпанные доверенные администраторы, поддерживающие свои инфраструктуры Windows Server 2016, также, вероятно, не хотели получать миллионы телефонных звонков о незначительных изменениях, о которых должен позаботиться кто-то другой — вы знаете, если они имел достаточно разрешений, но не слишком много.
Вот почему команда Microsoft представила JEA, низкоуровневую функцию безопасности, которая дает им «достаточное администрирование», не выходя за рамки, и дает им разрешения на рыскание всего этого.
Почему бы не использовать RBAC?
Да, вам, наверное, интересно, почему они не использовали управление доступом на основе ролей (RBAC). Если вы не знакомы с RBAC, это также предоставляет ограниченный доступ авторизованным пользователям. Однако RBAC в его текущей форме ограничен; хотя он позволяет вам делегировать доступ определенным пользователям для выполнения некоторых команд администратора в AD, эти инструменты специфичны для приложения, для которого они были написаны. Это означает, что эту безопасность на основе ролей нельзя использовать для DNS, IIS или Hyper-V, не говоря уже о том, что некоторые приложения вообще не поддерживают RBAC.
Удаленное взаимодействие PowerShell с JEA
Вот где JEA сияет: в отделе PowerShell. Это универсальное решение для управления доступом на основе ролей, предустановленное в Windows Server 2016, которое использует PowerShell и добавляет ожидаемую функциональность RBAC ко всему, чем можно управлять с помощью PowerShell.
Именно через PowerShell пользователи могут подключаться к серверу через конечную точку JEA, созданную доверенным администратором — они по-прежнему будут существовать и управлять всем процессом, но они предоставят вам желаемый ограниченный доступ, чтобы вы могли позаботиться о то, о чем вам нужно позаботиться, и ничего больше.
Вам нужно будет подключиться к $NonAdminCred, который подтверждает, что вы получаете повышенный доступ без полных административных учетных данных, которые сопровождают его, и вы запустите сценарий с одноразовым доступом к виртуальной учетной записи, который локально разрешен для использования. администратор на машине. Используя JEA, вы можете запускать команды с повышенными разрешениями без фактического входа в систему для получения этих полных разрешений, как система вела себя ранее. Вы получаете достаточно разрешений для выполнения своей работы, не более того.
Это то, что я могу обернуть в голове.