挨踢茶馆

专注于云计算、网络技术的个人博客

[译]使用JEA PowerShell控制IT权限

  Just Enough Administration限制了执行基本用户任务时的管理权限,让企业有更多安全上的控制。

《[译]使用JEA PowerShell控制IT权限》

  IT安全专家在受攻击面方面经常谈论服务器和应用程序。尽管大部分安全工作都是为了强化操作系统和应用程序以减少可能的受攻击面,但是有可能IT员工自己本身会成为受攻击面。

  很多网络攻击利用了恶意软件来获取受害者系统的访问权限。像很多其他的软件一样,恶意软件也会受限于当前的安全环境。比如说,一个拥用基本用户权限的用户不小心运行了一个恶意软件会比一个管理员运行这个恶意软件带来的损坏小得多。

  IT专家长期接受移除管理员权限来提高安全性的方法,但是剥夺所有IT员工的管理员权限并不是一个实用的方法。IT员工一定要有相应必需的权限来执行他们的工作。

  这就是需要用到Just Enough Administration的地方了。Just Enough Administration(JEA) 是一个PowerShell工具包来帮助企业组织限制管理员权限,以提供自身的整体安全性。

  JEA是一种基于角色的访问控制形式。主要的方法是精确地授予IT员工他们工作必需的权限,不多也不少。即使如此,JEA也和传统的基于身份的访问控制不一样,传统的访问控制是基于一份详尽的权限集合。而相比之下,JEA是基于限制某个用户能运行的PowerShell cmdlets然后限制用户以管理员的身份连接目标服务器。

  这就引出了一个问题,即一个标准用户如何在没有管理员权限的情况下去执行管理员任务呢?理解它工作原理的关键在于,要意识到用户从来不会直接登陆服务器控制台。用户会登录进一个标准的工作站,然后使用JEA PowerShell工具包与被管理的服务器建立远程会话。用户登陆的时候会使用自己被限制的账号密码,但操作的时候会利用Run As账户来执行任何需要更高权限的操作。

  从表面上看,如果使用Run As账户这种方式并不会比直接给用户账号授予管理员权限更好。但是这两种账号之间有非常重要的区别:一个被赋予管理员权限的用户账号基本上算是一个域管理员。使用JEA 的Run As账户是被管理服务器本地的。这个账户不会有域管理权限,这也意味着这个用户不能通过网络进行管理员授权的传递。

  Just Enough Administration PowerShell工具包不仅仅依赖对用户账号的创新使用来提高安全性,它同时也限制了用户允许执行的PowerShell cmdlets。这可以保证用户可以运行他工作需要的cmdlets,但是不会有额外的cmdlets。

  Just Enough Administration包含了创建一个到被管理服务器的远程会话。PowerShell远程会话可以通过会话配置文件或者脚本来进行限制。Just Enough Administration工具包运行允许这些限制以简单的文本文件来配置,这可以控制用户被授权运行哪些PowerShell cmdlets。Just Enough Administration工具包同时也可以被设置执行审计的功能。那样的话,如果一个用户尝试非授权的行为,这个行为会被阻止并且记录下来以待查看。

  Just Enough Administration工具包可以很大程度上地提供企业内部的安全性,特定用户只能执行某些设置好的管理员任务。使用这个工具集的最大缺点是它是面向PowerShell的。PowerShell可以作为一款管理工具来使用,但是使用它需要用户进行一定时间的学习。

原文地址:http://searchwindowsserver.techtarget.com/tip/Control-IT-access-with-JEA-PowerShell-toolkit


扫描下面二维码添加公众号【挨踢茶馆】,并回复微信群。您将被邀请进入AWS群,走向人生巅峰,迎娶白富美!
 


点赞
  1. Alick.Li说道:

    不错,是安全工具? :grin:

发表评论

电子邮件地址不会被公开。 必填项已用*标注