O Just Enough Administration (JEA) é na verdade uma nova tecnologia administrativa que permite aplicar princÃpios de controle de acesso baseados em funções (RBAC) através de sessões remotas do Windows PowerShell. Em vez de permitir que os papéis gerais dos usuários que muitas vezes lhes permitam executar tarefas que não estão diretamente relacionadas aos seus requisitos de trabalho, o JEA permite que você configure pontos de extremidade especiais do Windows PowerShell que forneçam a funcionalidade necessária para executar uma tarefa especÃfica.
O JEA permite que você bloqueie as sessões administrativas para que apenas um conjunto especÃfico de tarefas possa ser executado através de uma sessão remota do Windows PowerShell. A JEA aumenta a segurança ao limitar as tarefas que podem ser realizadas. Você configura o JEA criando e modificando arquivos de capacidade de função e arquivos de configuração de sessão. A função principal do JEA é aumentar a segurança da utilização de sessões remotas do Windows PowerShell; o JEA bloqueia sessões administrativas efetuadas pelo Windows PowerShell com base em um determinado critério.
O JEA fornece sistemas operacionais Windows Server e Windows client com funcionalidade RBAC construÃda no remoting PowerShell do Windows. O remoting do Windows PowerShell é quando uma sessão remota do Windows PowerShell iniciada em um computador permite que atividades sejam executadas em outro computador. Quando você configura o JEA, um usuário autorizado pode se conectar a um ponto final especialmente configurado e usar um conjunto especÃfico de cmdlets, parâmetros e valores de parâmetros do Window PowerShell. Você também pode configurar um ponto de extremidade JEA para permitir que certos scripts e comandos sejam executados, embora exija que estes funcionem dentro de uma sessão do Windows PowerShell.
Por exemplo, você pode configurar um ponto de extremidade JEA para permitir que um usuário autorizado reinicie serviços especÃficos, como o serviço DNS (Domain Name System), mas não reinicie nenhum outro serviço ou execute outras tarefas no sistema no qual o ponto final está configurado . Um ponto final do JEA também pode ser configurado para permitir que um usuário autorizado execute um comando como whoami.exe para determinar qual conta está sendo usada com a sessão. Quando conectado ao ponto final, o JEA permite que as tarefas sejam executadas usando uma conta virtual privilegiada especial, em vez da conta do usuário. As vantagens desta abordagem incluem:
• As credenciais do usuário não são armazenadas no sistema remoto. Se o sistema remoto estiver comprometido, as credenciais do usuário não estão sujeitas a roubo de credencial e não podem ser usadas para percorrer a rede para obter acesso a outros hosts.
• A conta de usuário usada para se conectar ao ponto final não precisa ser privilegiada. O ponto final simplesmente precisa ser configurado para permitir conexões de contas de usuários especificadas.
• A conta virtual é limitada ao sistema no qual está hospedado. A conta virtual não pode ser usada para se conectar a sistemas remotos. Os atacantes não podem usar uma conta virtual comprometida para acessar outros servidores protegidos.
• A conta virtual tem privilégios de administrador local, mas se limita a realizar apenas as atividades definidas pela JEA. Você pode configurar a conta virtual com a associação de um grupo diferente do grupo de administradores locais, para reduzir os privilégios. A JEA trabalha diretamente nos seguintes sistemas operacionais:
• Windows Server 2016
• Windows 10, versão 1511 ou posterior
O JEA funcionará nos seguintes sistemas desde que o Windows Management Framework 5.0 seja
instalado:
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows 8.1
• Windows 8
• Windows 7
Quando é usado com o Windows Server 2008 R2 ou Windows 7, o JEA não suporta contas virtuais. Quando usado com esses sistemas operacionais, toda atividade é realizada usando a conta que se conecta ao ponto final do JEA. Isso pode exigir que a conta seja adicionada aos grupos de segurança apropriados, ao contrário da conta virtual, que possui privilégios de administrador local no computador host.
Configurar o JEA é um processo complicado porque exige que a pessoa que configura cada função de função JEA compreenda precisamente quais cmdlets, parâmetros, alias e valores são necessários para executar tarefas administrativas. JEA é adequado para tarefas de configuração de rotina, como reiniciar um serviço ou implantar um contêiner ou máquina virtual (VM). O JEA é menos adequado para tarefas onde o problema e a solução não estão definidos de forma clara.
Quando o JEA está configurado corretamente, um usuário de operações de tecnologia da informação (TI) terá apenas as ferramentas necessárias para executar a tarefa que eles precisam concluir. O JEA só funciona com sessões do Windows PowerShell. Embora você possa configurar scripts e comandos executáveis para estarem disponÃveis para uma sessão JEA, o JEA exige que as tarefas administrativas sejam executadas a partir da linha de comando. É provável que isso desafie o pessoal das operações de TI que são apenas familiarizados com a realização de tarefas usando ferramentas gráficas.
Os arquivos de capacidade de função permitem que você especifique o que pode ser feito em uma sessão do Windows PowerShell. Qualquer coisa que não seja explicitamente permitida em uma rolecapability arquivo ou um arquivo de configuração de sessão não é permitido.
Você pode criar um novo arquivo de função de papel em branco usando o cmdlet New-RoleCapabilityFile. Os arquivos Rolecapability usam a extensão .psrc. Em seguida, edite o arquivo de capacidade de função, adicionando cmdlets, funções e comandos externos conforme necessário. Você pode permitir todos os cmdlets ou funções do Windows PowerShell, ou listar quais parâmetros e
Os valores dos parâmetros podem ser usados.
Os arquivos de configuração de sessão são um tipo especial de arquivo que determina o que pode ser feito em uma sessão JEA. Se um cmdlet, parâmetro, valor de parâmetro, alias, script externo ou executável não estiver listado em um arquivo de configuração de sessão, ele não pode ser usado em uma sessão JEA configurada com esse arquivo de configuração de sessão. Você cria novos arquivos de configuração de sessão usando o cmdlet New-PSSessionConfigurationFile. Os arquivos de configuração de sessão usam o .pssc extensão de arquivo.
Um ponto final do JEA é um nó de extremidade do Windows PowerShell que está configurado para que apenas usuários autenticados especÃficos possam se conectar a ele e, para que apenas esses usuários tenham acesso aos cmdlets, parâmetros e valores de Windows PowerShell definidos pelo arquivo apropriado de configuração de sessão que vincula Grupos de segurança e capacidades de função.
Um servidor pode ter múltiplos pontos de extremidade JEA, e cada ponto de extremidade JEA pode ser usado para uma tarefa administrativa diferente. Por exemplo, um nó de extremidade DNSOps para executar tarefas administrativas de DNS e um ponto final de DHCPOps para executar o Host Dinâmico
Tarefas administrativas do protocolo de configuração (DHCP).
Os usuários não precisam ter contas privilegiadas que sejam membros de grupos, como o grupo Administradores local, para se conectar a um nó de extremidade. Uma vez conectado, os usuários têm os privilégios atribuÃdos à conta virtual configurada no arquivo de configuração de sessão. Você cria os pontos de extremidade do JEA usando o cmdlet Register-PSSessionConfiguration. Ao usar isso Cmdlet, você especifica um nome de ponto final e um arquivo de configuração de sessão hospedado na máquina local.
Por exemplo, para criar o DNS Ops do nó de extremidade usando o arquivo de configuração de sessão DNS Ops.pssc, execute o seguinte comando: Register-PSSessionConfiguration -Name DNSOps -Path DNSOps.pssc
Antes de implementar o JEA em um ambiente de produção, você deve testá-lo extensivamente. Isso é necessário porque a JEA é extremamente restritiva e é provável que as configurações iniciais da JEA não incluam muitos cmdlets importantes que são necessários para o pessoal de operações de TI para executar suas tarefas de trabalho. Você se conecta a um ponto final do JEA usando uma sessão remota do Windows PowerShell. Quando você criou uma configuração JEA, você também pode implantar essa configuração em outros computadores.
Conectando-se a um ponto final do JEA
Você se conecta a um ponto final do JEA usando o cmdlet Enter-PSsession de uma sessão padrão do Windows PowerShell. Este cmdlet está disponÃvel por padrão em computadores que executam sistemas operacionais Windows Server 2016 e Windows 10 (versão 1511 ou posterior) e estão disponÃveis em computadores que executem Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8.1, Windows 8 e Windows 7, se o Windows Management Framework 5.0 estiver instalado.
Você especifica o nome do nó de extremidade usando o parâmetro de Configuração com o cmdlet Enter-PSSession. Por exemplo, para se conectar ao ponto final DNSAdmin no servidor LON-DC1, você usaria o seguinte comando: Enter-PSSession -ComputerName LON-DC1 -ConfigurationName DNSOps
Por padrão, Enter-PSsession usará as credenciais do usuário assinado com o padrão. Você pode usar o parâmetro Credential para fornecer credenciais alternativas. Por exemplo, para se conectar usando a conta Contoso \ Chris para o ponto de extremidade DNSOps em LON-DC1, emita o seguinte comando: Enter-PSSession -ComputerName LON-DC1 -ConfigurationName DNSOps -Credential Contoso\EduardoPopovici
Depois de validar uma configuração JEA, você pode implantar a configuração em outros computadores. Implantando uma configuração JEA a outros computadores
Envolve:
• Copiando arquivos de capacidade de função e arquivos de configuração de sessão para o computador de destino.
• Criando pontos de extremidade JEA nesse computador.
O recurso de Configuração de Estado Desejado da Administração Just Enough (DSC) permite que você implante o JEA de forma centralizada em computadores de sua organização que tenham sua configuração mantida pela DSC. Através do DSC, você pode gerenciar de forma centralizada o mapeamento de usuário e função
Embora você possa implantar a mesma configuração do JEA em computadores diferentes em sua organização, é provável que cada computador atenda uma finalidade diferente e, portanto, pode precisar de uma configuração JEA exclusiva. Também pode ser que você precisará configurar arquivos de configuração de sessão separados mesmo se você usar o mesmo arquivo de capacidade de função. Por exemplo, você pode criar um arquivo de capacidade de função que permita gerenciamento de DNS, mas configure arquivos de configuração de sessão separados para cada servidor de DNS porque você deseja permitir que diferentes grupos de usuários executem tarefas de administração de DNS.