Steuern Sie den IT-Zugriff mit dem Windows JEA PowerShell-Toolkit

IT-Sicherheitsexperten sprechen häufig über Server und Anwendungen im Hinblick auf eine Angriffsfläche. Obwohl häufig viel Arbeit in das Härten von Betriebssystemen und Anwendungen investiert wird, um diese potenzielle Angriffsfläche zu reduzieren, ist es möglich, dass das IT-Personal zur Angriffsfläche wird.

Viele Cyberangriffe nutzen Malware um Zugang zu dem System zu erhalten, das angegriffen wird. Wie jede andere Software, Malware ist durch den aktuellen Sicherheitskontext begrenzt. Zum Beispiel wird eine Malware, die jemand mit grundlegenden Benutzerrechten versehentlich ausführt, wahrscheinlich weitaus weniger Schaden anrichten, als wenn der Benutzer, der die Malware gestartet hat, ein Administrator wäre.

Gerade genug Berechtigungen mit dem JEA Powershell Toolkit

IT-Experten haben die Idee, dass das Entfernen von Administratorrechten die Sicherheit verbessert, seit langem akzeptiert. Es ist jedoch keine praktische Option, dem gesamten IT-Personal den administrativen Zugriff zu entziehen. IT-Mitarbeiter müssen über die erforderlichen Berechtigungen verfügen, um ihre Arbeit erledigen zu können.

Hier kommt Just Enough Administration ins Spiel. Just Enough Administration (JEA) ist ein PowerShell-Toolkit, mit dem ein Unternehmen seine Gesamtsicherheit verbessern kann, indem es den Administratorzugriff einschränkt.

JEA ist eine Form von rollenbasierte Zugriffskontrolle. Die Idee ist, IT-Mitarbeitern genau die Berechtigungen zu erteilen, die sie für ihre Arbeit benötigen – nicht mehr und nicht weniger. Trotzdem unterscheidet sich JEA von der herkömmlichen rollenbasierten Zugriffssteuerung, die in der Regel auf einem umfangreichen Satz von Berechtigungen basiert. Im Gegensatz dazu basiert JEA darauf, die PowerShell-Cmdlets, die ein bestimmter Benutzer ausführen darf, einzuschränken und dann zu verhindern, dass der Benutzer als Administrator eine Verbindung zum Zielserver herstellt.

Verwenden Sie das Konto “Ausführen als”, anstatt Berechtigungen zu verwalten

Dies wirft die Frage auf, wie ein Standardbenutzer Verwaltungsaufgaben ausführen kann, ohne Administratorrechte zu verwenden. Der Schlüssel zum Verständnis der Funktionsweise besteht darin, zu erkennen, dass sich der Benutzer niemals direkt bei der Serverkonsole anmeldet. Stattdessen meldet sich der Benutzer bei einer Standardarbeitsstation an und verwendet dann das JEA PowerShell-Toolkit, um eine Remotesitzung mit dem von ihm verwalteten Server einzurichten. Der Benutzer meldet sich mit seinen eigenen eingeschränkten Anmeldeinformationen an, verwendet jedoch ein ausführendes Konto, um alle Aktionen auszuführen, für die erhöhte Berechtigungen erforderlich sind.

Oberflächlich betrachtet scheint die Verwendung eines Run As-Kontos nicht besser zu sein, als dem Benutzerkonto Administratorrechte zu erteilen. Es gibt jedoch einen sehr wichtigen Unterschied zwischen den beiden Konten. Ein Benutzerkonto, dem Administratorrechte gewährt wurden, ist im Wesentlichen ein Domänenadministrator. Das von JEA verwendete Ausführungskonto ist lokal für den zu verwaltenden Server. Das Konto verfügt nicht über Domänenadministratorrechte. Dies bedeutet, dass der Benutzer niemals administrative Anmeldeinformationen auf Domänenebene über das Netzwerk überträgt.

Das PowerShell-Toolkit “Just Enough Administration” basiert nicht nur auf der kreativen Verwendung von Konten, um die Sicherheit zu verbessern. Außerdem werden die PowerShell-Cmdlets eingeschränkt, die der Benutzer ausführen darf. Dies stellt sicher, dass der Benutzer das ausführen kann Cmdlets erforderlich, damit sie seine Arbeit erledigen können, aber keine zusätzlichen Cmdlets.

Für eine ausreichende Verwaltung muss eine Remotesitzung auf dem Server erstellt werden, der verwaltet wird. PowerShell-Remoting-Sitzungen können mithilfe einer Sitzungskonfigurationsdatei oder eines Skripts eingeschränkt werden. Das Nur genug Administrations-Toolkit Ermöglicht die Konfiguration dieser Einschränkungen über eine einfache Textdatei, die steuert, welche PowerShell-Cmdlets der Benutzer ausführen darf. Das Just Enough Administration Toolkit kann auch für die Durchführung von Audits eingerichtet werden. Auf diese Weise wird die Aktion blockiert und für eine spätere Überprüfung protokolliert, wenn ein Benutzer eine nicht autorisierte Aktion versucht.

Das Toolkit “Just Enough Administration” kann die Sicherheit in Organisationen erheblich verbessern, in denen bestimmte Benutzer bestimmte Verwaltungsaufgaben ausführen müssen. Der Hauptnachteil bei der Verwendung dieses Toolkits besteht darin, dass es PowerShell-orientiert ist. PowerShell kann als Verwaltungstool verwendet werden, es wird jedoch wahrscheinlich eine Lernkurve für die Benutzer geben, die es verwenden werden.

Similar Posts

Leave a Reply