Just Enough Administration (JEA) é uma tecnologia de segurança poderosa no Windows Server que permite limitar os privilégios administrativos, fornecendo aos usuários apenas as permissões necessárias para executar tarefas específicas. Isso minimiza os riscos associados a direitos administrativos amplos e melhora a segurança geral da infraestrutura de TI. Este artigo orientará você através do processo de configuração do JEA no Windows Server.
Introdução ao JEA
JEA ajuda a reduzir a superfície de ataque em seus servidores ao conceder aos usuários a capacidade de executar tarefas administrativas sem fornecer-lhes direitos administrativos completos. Ele é implementado através do Windows PowerShell e configurações de sessão, permitindo um controle detalhado sobre as ações que os usuários podem executar.
Pré-requisitos
- Windows Server 2016 ou posterior instalado.
- Windows PowerShell 5.0 ou superior.
- Conhecimento básico do PowerShell e da administração do Windows Server.
Passo 1: Instalar o Módulo do PowerShell para JEA
O primeiro passo é garantir que você tenha o módulo PowerShell necessário para JEA instalado. Abra o PowerShell como administrador e execute o seguinte comando para verificar se o módulo ‘PSDesiredStateConfiguration’ está instalado:
Get-Module -ListAvailable PSDesiredStateConfiguration
Se não estiver instalado, você pode instalar o módulo via PowerShell Gallery usando:
Install-Module -Name PSDesiredStateConfiguration
Passo 2: Criar um Arquivo de Configuração de Sessão do PowerShell
Você precisará criar um arquivo de configuração de sessão do PowerShell (.pssc) para definir as capacidades do usuário na sessão JEA. Este arquivo especifica quais comandos os usuários podem executar, quais módulos eles podem acessar, e outras configurações importantes.
- Crie o Arquivo PSSC: Use um editor de texto para criar um novo arquivo chamado
MyJeaEndpoint.pssccom o seguinte conteúdo de exemplo:
@{
SessionType = 'RestrictedRemoteServer'
TranscriptDirectory = 'C:\Transcripts\JEA'
RunAsVirtualAccount = $true
RoleDefinitions = @{
'CONTOSO\Domain Admins' = @{
RoleCapabilities = 'Everything'
}
'CONTOSO\JEAUsers' = @{
RoleCapabilities = 'BasicNetworking', 'ReadOnly'
}
}
}
- Salve o arquivo: Escolha um local seguro para salvar o arquivo
.pssc.
Passo 3: Criar Arquivos de Capacidade de Função
Os arquivos de capacidade de função (.psrc) definem o que um usuário pode fazer em uma sessão JEA. Você pode criar múltiplos arquivos .psrc para diferentes funções de usuário.
- Crie o Arquivo PSRC: Crie um arquivo chamado
BasicNetworking.psrccom definições que permitam ao usuário executar comandos de rede básicos. Salve este arquivo em um diretório conhecido comoRoleCapabilities.
@{
VisibleCmdlets = 'Get-NetIPAddress', 'Get-NetAdapter'
}
- Repita para Outras Capacidades: Crie outros arquivos .psrc conforme necessário para diferentes grupos de usuários e capacidades.
Passo 4: Registrar o Ponto de Extremidade JEA
Após criar os arquivos .pssc e .psrc, você precisa registrar o ponto de extremidade JEA no servidor.
Register-PSSessionConfiguration -Name 'MyJeaEndpoint' -Path '.\MyJeaEndpoint.pssc'
Passo 5: Testar a Configuração JEA
Finalmente, teste sua configuração JEA para garantir que ela funcione conforme esperado. Use o comando Enter-PSSession para conectar ao ponto de extremidade JEA com um usuário que tenha permissão para usar o JEA.
Enter-PSSession -ComputerName localhost -ConfigurationName MyJeaEndpoint -Credential (Get-Credential)
Conclusão
O Just Enough Administration (JEA) é uma ferramenta essencial para melhorar a segurança dos seus servidores Windows, minimizando os riscos associados a privilégios administrativos excessivos. Seguindo os passos acima, você pode configurar o JEA para fornecer aos usuários apenas as permissões necessárias para realizar suas tarefas, reforçando a postura de segurança da sua infraestrutura de TI.