您現(xiàn)在的位置:首頁 >關于我們 >行業(yè)新聞 >主機租用和主機托管使用JEA PowerShell控制IT權限

主機租用和主機托管使用JEA PowerShell控制IT權限

時間:2016年3月22日
   在受攻擊面方面,IT安全專家經(jīng)常談論的話題是服務器和應用程序。盡管大部分安全工作都是為了強化操作系統(tǒng)和應用程序以減少可能的受攻擊面,但是有可能IT員工自己本身會成為受攻擊面。
   很多網(wǎng)絡攻擊利用了惡意軟件來獲取受害者系統(tǒng)的訪問權限。像很多其他的軟件一樣,惡意軟件也會受限于當前的安全環(huán)境。比如說,一個擁用基本用戶權限的用戶不小心運行了一個惡意軟件會比一個管理員運行這個惡意軟件帶來的損壞小得多。
   IT專家長期接受移除管理員權限來提高安全性的方法,但是剝奪所有IT員工的管理員權限并不是一個實用的方法。IT員工一定要有相應必需的權限來執(zhí)行他們的工作。
   這就是需要用到Just Enough Administration的地方了。Just Enough Administration( JEA) 是一個PowerShell工具包來幫助企業(yè)組織限制管理員權限,以提供自身的整體安全性。
   JEA是一種基于角色的訪問控制形式。主要的方法是精確地授予IT員工他們工作必需的權限,不多也不少。即使如此,JEA也和傳統(tǒng)的基于身份的訪問控制不一樣,傳統(tǒng)的訪問控制是基于一份詳盡的權限集合。而相比之下,JEA是基于限制某個用戶能運行的PowerShell cmdlets然后限制用戶以管理員的身份連接目標服務器。 這就引出了一個問題,即一個標準用戶如何在沒有管理員權限的情況下去執(zhí)行管理員任務呢?理解它工作原理的關鍵在于,要意識到用戶從來不會直接登陸服務器控制臺。用戶會登錄進一個標準的工作站,然后使用JEA PowerShell工具包與被管理的服務器建立遠程會話。用戶登陸的時候會使用自己被限制的賬號密碼,但操作的時候會利用Run As賬戶來執(zhí)行任何需要更高權限的操作。
   從表面上看,如果使用Run As賬戶這種方式并不會比直接給用戶賬號授予管理員權限更好。但是這兩種賬號之間有非常重要的區(qū)別:一個被賦予管理員權限的用戶賬號基本上算是一個域管理員。使用JEA 的Run As賬戶是被管理服務器本地的。這個賬戶不會有域管理權限,這也意味著這個用戶不能通過網(wǎng)絡進行管理員授權的傳遞。
   Just Enough Administration PowerShell工具包不僅僅依賴對用戶賬號的創(chuàng)新使用來提高安全性,它同時也限制了用戶允許執(zhí)行的PowerShell cmdlets。這可以保證用戶可以運行他工作需要的cmdlets,但是不會有額外的cmdlets。
   Just Enough Administration包含了創(chuàng)建一個到被管理服務器的遠程會話。PowerShell遠程會話可以通過會話配置文件或者腳本來進行限制。Just Enough Administration工具包運行允許這些限制以簡單的文本文件來配置,這可以控制用戶被授權運行哪些PowerShell cmdlets。Just Enough Administration工具包同時也可以被設置執(zhí)行審計的功能。那樣的話,如果一個用戶嘗試非授權的行為,這個行為會被阻止并且記錄下來以待查看。 內(nèi)容來自bigone
    Just Enough Administration工具包可以很大程度上地提供企業(yè)內(nèi)部的安全性,特定用戶只能執(zhí)行某些設置好的管理員任務。使用這個工具集的最大缺點是它是面向PowerShell的。PowerShell可以作為一款管理工具來使用,但是使用它需要用戶進行一定時間的學習。海騰數(shù)據(jù)中心服務器租用


Copyright© 2004-2020 河南海騰電子技術有限公司 版權所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照