挨踢茶馆

  • 首页
  • AWS
  • 网络技术
    • 思科语音
    • 路由交换
  • 给我留言
  • 关于我
挨踢茶馆
专注于网络技术、云计算的技术博客
  1. 首页
  2. 操作系统
  3. 正文

[译]使用JEA PowerShell控制IT权限

2015 年 9 月 24 日 6551点热度 0人点赞 1条评论

  Just Enough Administration限制了执行基本用户任务时的管理权限,让企业有更多安全上的控制。

it_security-tagcloud

  IT安全专家在受攻击面方面经常谈论服务器和应用程序。尽管大部分安全工作都是为了强化操作系统和应用程序以减少可能的受攻击面,但是有可能IT员工自己本身会成为受攻击面。

  很多网络攻击利用了恶意软件来获取受害者系统的访问权限。像很多其他的软件一样,恶意软件也会受限于当前的安全环境。比如说,一个拥用基本用户权限的用户不小心运行了一个恶意软件会比一个管理员运行这个恶意软件带来的损坏小得多。

  IT专家长期接受移除管理员权限来提高安全性的方法,但是剥夺所有IT员工的管理员权限并不是一个实用的方法。IT员工一定要有相应必需的权限来执行他们的工作。

  这就是需要用到Just Enough Administration的地方了。Just Enough Administration(JEA) 是一个PowerShell工具包来帮助企业组织限制管理员权限,以提供自身的整体安全性。

  JEA是一种基于角色的访问控制形式。主要的方法是精确地授予IT员工他们工作必需的权限,不多也不少。即使如此,JEA也和传统的基于身份的访问控制不一样,传统的访问控制是基于一份详尽的权限集合。而相比之下,JEA是基于限制某个用户能运行的PowerShell cmdlets然后限制用户以管理员的身份连接目标服务器。

  这就引出了一个问题,即一个标准用户如何在没有管理员权限的情况下去执行管理员任务呢?理解它工作原理的关键在于,要意识到用户从来不会直接登陆服务器控制台。用户会登录进一个标准的工作站,然后使用JEA PowerShell工具包与被管理的服务器建立远程会话。用户登陆的时候会使用自己被限制的账号密码,但操作的时候会利用Run As账户来执行任何需要更高权限的操作。

  从表面上看,如果使用Run As账户这种方式并不会比直接给用户账号授予管理员权限更好。但是这两种账号之间有非常重要的区别:一个被赋予管理员权限的用户账号基本上算是一个域管理员。使用JEA 的Run As账户是被管理服务器本地的。这个账户不会有域管理权限,这也意味着这个用户不能通过网络进行管理员授权的传递。

  Just Enough Administration PowerShell工具包不仅仅依赖对用户账号的创新使用来提高安全性,它同时也限制了用户允许执行的PowerShell cmdlets。这可以保证用户可以运行他工作需要的cmdlets,但是不会有额外的cmdlets。

  Just Enough Administration包含了创建一个到被管理服务器的远程会话。PowerShell远程会话可以通过会话配置文件或者脚本来进行限制。Just Enough Administration工具包运行允许这些限制以简单的文本文件来配置,这可以控制用户被授权运行哪些PowerShell cmdlets。Just Enough Administration工具包同时也可以被设置执行审计的功能。那样的话,如果一个用户尝试非授权的行为,这个行为会被阻止并且记录下来以待查看。

  Just Enough Administration工具包可以很大程度上地提供企业内部的安全性,特定用户只能执行某些设置好的管理员任务。使用这个工具集的最大缺点是它是面向PowerShell的。PowerShell可以作为一款管理工具来使用,但是使用它需要用户进行一定时间的学习。

原文地址:http://searchwindowsserver.techtarget.com/tip/Control-IT-access-with-JEA-PowerShell-toolkit

标签: access JEA PowerShell
最后更新:2015 年 9 月 24 日

挨踢小茶

网络工程师/云计算架构师/云步道师/摄影爱好者

点赞
< 上一篇
下一篇 >

文章评论

  • Alick.Li

    不错,是安全工具? :grin:

    2015 年 10 月 5 日
    回复
  • razz evil exclaim smile redface biggrin eek confused idea lol mad twisted rolleyes wink cool arrow neutral cry mrgreen drooling persevering
    取消回复

    挨踢小茶

    网络工程师/云计算架构师/云步道师/摄影爱好者

    最新 热点 随机
    最新 热点 随机
    Web3 Social 2023 @深圳 AIGC Prompt 的艺术和模型调优 UWA Day 2022 - 如何通过云计算构架高性能、高可靠、智能化的游戏 一文看懂 Amazon EKS 中的网络规划 利用 Direct Connect Gateway 和 Transit Gateway 打造跨国企业网络环境 SD-WAN 和专线混合组网中的高可用设计 为了加速Wordpress网站我踩过了哪些坑?含泪告诉你 利用 SD-WAN 和专线混合组网,加速境内外企业 IDC 和多云数据中心 运行7年之后博客更新主题 立业不读架构书,阅尽诗书也枉然
    亚马逊云AWS搭建多站点的VPN CloudHub架构 TP-Link无线路由器 N Nano MAC Flooding攻击原理及预防方法 家庭网络简介--知识普及篇 Ecmall如何设置货到付款 CUCM8 BUG: 登录Disaster Recovery System无反映 写于读《拆掉思维里的墙》后 云南11天游结束,挨踢小茶之回归 IE9在Win7上大展拳脚,力压Firefox颓势 互联网行业“漏斗定律”:30/10/10
    链接表
    • FROYO's Blog
    • Pop's blog
    • TC的博客
    • 今天毕业
    • 挨踢茶馆在线教程
    • 月与灯依旧
    • 月小升博客
    • 泪雪博客
    • 海纳百川
    • 筑楼
    • 网络茶馆
    • 蓝卡
    • 郑晓个人博客
    • 陆鉴鑫的博客

    COPYRIGHT © 2012-2023

    Theme Kratos Made By Seaton Jiang

    粤ICP备12007665号-1