主机租用和主机托管使用JEA PowerShell控制IT权限

发布时间：2019-04-10 16:28 作者：admin

分享到： QQ空间新浪微博腾讯微博人人网微信

简述：在受攻击面方面，IT安全专家经常谈论的话题是服务器和应用程序。尽管大部分安全工作都是为了强化操作系统和应用程序以减少可能的受攻击面，但是有可能IT员工自己本身会成为受攻击面。

在受攻击面方面，IT安全专家经常谈论的话题是服务器和应用程序。尽管大部分安全工作都是为了强化操作系统和应用程序以减少可能的受攻击面，但是有可能IT员工自己本身会成为受攻击面。

很多网络攻击利用了恶意软件来获取受害者系统的访问权限。像很多其他的软件一样，恶意软件也会受限于当前的安全环境。比如说，一个拥用基本用户权限的用户不小心运行了一个恶意软件会比一个管理员运行这个恶意软件带来的损坏小得多。

IT专家长期接受移除管理员权限来提高安全性的方法，但是剥夺所有IT员工的管理员权限并不是一个实用的方法。IT员工一定要有相应必需的权限来执行他们的工作。

这就是需要用到Just Enough Administration的地方了。Just Enough Administration（ JEA）是一个PowerShell工具包来帮助企业组织限制管理员权限，以提供自身的整体安全性。

JEA是一种基于角色的访问控制形式。主要的方法是精确地授予IT员工他们工作必需的权限，不多也不少。即使如此，JEA也和传统的基于身份的访问控制不一样，传统的访问控制是基于一份详尽的权限集合。而相比之下，JEA是基于限制某个用户能运行的PowerShell cmdlets然后限制用户以管理员的身份连接目标服务器。这就引出了一个问题，即一个标准用户如何在没有管理员权限的情况下去执行管理员任务呢？理解它工作原理的关键在于，要意识到用户从来不会直接登陆服务器控制台。用户会登录进一个标准的工作站，然后使用JEA PowerShell工具包与被管理的服务器建立远程会话。用户登陆的时候会使用自己被限制的账号密码，但操作的时候会利用Run As账户来执行任何需要更高权限的操作。

从表面上看，如果使用Run As账户这种方式并不会比直接给用户账号授予管理员权限更好。但是这两种账号之间有非常重要的区别：一个被赋予管理员权限的用户账号基本上算是一个域管理员。使用JEA 的Run As账户是被管理服务器本地的。这个账户不会有域管理权限，这也意味着这个用户不能通过网络进行管理员授权的传递。

Just Enough Administration PowerShell工具包不仅仅依赖对用户账号的创新使用来提高安全性，它同时也限制了用户允许执行的PowerShell cmdlets。这可以保证用户可以运行他工作需要的cmdlets，但是不会有额外的cmdlets。

Just Enough Administration包含了创建一个到被管理服务器的远程会话。PowerShell远程会话可以通过会话配置文件或者脚本来进行限制。Just Enough Administration工具包运行允许这些限制以简单的文本文件来配置，这可以控制用户被授权运行哪些PowerShell cmdlets。Just Enough Administration工具包同时也可以被设置执行审计的功能。那样的话，如果一个用户尝试非授权的行为，这个行为会被阻止并且记录下来以待查看。内容来自bigone

Just Enough Administration工具包可以很大程度上地提供企业内部的安全性，特定用户只能执行某些设置好的管理员任务。使用这个工具集的最大缺点是它是面向PowerShell的。PowerShell可以作为一款管理工具来使用，但是使用它需要用户进行一定时间的学习。

点击展开全文

腾佑科技（www.tuidc.com）成立于2009年，总部位于河南郑州，是一家集互联网基础设施及软硬件于一体化的高新技术企业，具有IDC/ISP/ICP/云牌照、双软等资质，并拥有多个国家版权局认证。公司自成立以来，一直致力于发展互联网IDC数据中心DataCenter、云计算Cloud、大数据BigDate、人工智能AI、内容加速CDN、互联网安全、软件定制开发等产品服务及行业客户技术一体化智能解决方案；2018年成为百度智能云AI河南服务中心。

售前咨询热线：400-996-8756

备案提交：0371-89913068

售后客服：0371-89913000