您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >主機(jī)租用和主機(jī)托管使用JEA PowerShell控制IT權(quán)限

主機(jī)租用和主機(jī)托管使用JEA PowerShell控制IT權(quán)限

時間:2016年3月22日
   在受攻擊面方面,IT安全專家經(jīng)常談?wù)摰脑掝}是服務(wù)器和應(yīng)用程序。盡管大部分安全工作都是為了強(qiáng)化操作系統(tǒng)和應(yīng)用程序以減少可能的受攻擊面,但是有可能IT員工自己本身會成為受攻擊面。
   很多網(wǎng)絡(luò)攻擊利用了惡意軟件來獲取受害者系統(tǒng)的訪問權(quán)限。像很多其他的軟件一樣,惡意軟件也會受限于當(dāng)前的安全環(huán)境。比如說,一個擁用基本用戶權(quán)限的用戶不小心運(yùn)行了一個惡意軟件會比一個管理員運(yùn)行這個惡意軟件帶來的損壞小得多。
   IT專家長期接受移除管理員權(quán)限來提高安全性的方法,但是剝奪所有IT員工的管理員權(quán)限并不是一個實(shí)用的方法。IT員工一定要有相應(yīng)必需的權(quán)限來執(zhí)行他們的工作。
   這就是需要用到Just Enough Administration的地方了。Just Enough Administration( JEA) 是一個PowerShell工具包來幫助企業(yè)組織限制管理員權(quán)限,以提供自身的整體安全性。
   JEA是一種基于角色的訪問控制形式。主要的方法是精確地授予IT員工他們工作必需的權(quán)限,不多也不少。即使如此,JEA也和傳統(tǒng)的基于身份的訪問控制不一樣,傳統(tǒng)的訪問控制是基于一份詳盡的權(quán)限集合。而相比之下,JEA是基于限制某個用戶能運(yùn)行的PowerShell cmdlets然后限制用戶以管理員的身份連接目標(biāo)服務(wù)器。 這就引出了一個問題,即一個標(biāo)準(zhǔn)用戶如何在沒有管理員權(quán)限的情況下去執(zhí)行管理員任務(wù)呢?理解它工作原理的關(guān)鍵在于,要意識到用戶從來不會直接登陸服務(wù)器控制臺。用戶會登錄進(jìn)一個標(biāo)準(zhǔn)的工作站,然后使用JEA PowerShell工具包與被管理的服務(wù)器建立遠(yuǎn)程會話。用戶登陸的時候會使用自己被限制的賬號密碼,但操作的時候會利用Run As賬戶來執(zhí)行任何需要更高權(quán)限的操作。
   從表面上看,如果使用Run As賬戶這種方式并不會比直接給用戶賬號授予管理員權(quán)限更好。但是這兩種賬號之間有非常重要的區(qū)別:一個被賦予管理員權(quán)限的用戶賬號基本上算是一個域管理員。使用JEA 的Run As賬戶是被管理服務(wù)器本地的。這個賬戶不會有域管理權(quán)限,這也意味著這個用戶不能通過網(wǎng)絡(luò)進(jìn)行管理員授權(quán)的傳遞。
   Just Enough Administration PowerShell工具包不僅僅依賴對用戶賬號的創(chuàng)新使用來提高安全性,它同時也限制了用戶允許執(zhí)行的PowerShell cmdlets。這可以保證用戶可以運(yùn)行他工作需要的cmdlets,但是不會有額外的cmdlets。
   Just Enough Administration包含了創(chuàng)建一個到被管理服務(wù)器的遠(yuǎn)程會話。PowerShell遠(yuǎn)程會話可以通過會話配置文件或者腳本來進(jìn)行限制。Just Enough Administration工具包運(yùn)行允許這些限制以簡單的文本文件來配置,這可以控制用戶被授權(quán)運(yùn)行哪些PowerShell cmdlets。Just Enough Administration工具包同時也可以被設(shè)置執(zhí)行審計(jì)的功能。那樣的話,如果一個用戶嘗試非授權(quán)的行為,這個行為會被阻止并且記錄下來以待查看。 內(nèi)容來自bigone
    Just Enough Administration工具包可以很大程度上地提供企業(yè)內(nèi)部的安全性,特定用戶只能執(zhí)行某些設(shè)置好的管理員任務(wù)。使用這個工具集的最大缺點(diǎn)是它是面向PowerShell的。PowerShell可以作為一款管理工具來使用,但是使用它需要用戶進(jìn)行一定時間的學(xué)習(xí)。海騰數(shù)據(jù)中心服務(wù)器租用


Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照