Table of contents

Just Enough Administration

Ryan Puffer|Zuletzt aktualisiert: 16.02.2017
|
1 Mitwirkender

Just Enough Administration (JEA) ist eine Sicherheitstechnologie, die eine delegierte Verwaltung für sämtliche Elemente ermöglicht, die in PowerShell verwaltet werden können. Mit JEA ist Folgendes möglich:

  • Reduzieren Sie die Anzahl von Administratoren auf Ihren Computern, indem Sie virtuelle Konten nutzen, die privilegierte Aktionen für normale Benutzer ausführen.
  • Beschränken Sie Benutzeraktionen, indem Sie die Cmdlets, Funktionen und externen Befehle festlegen, die von Benutzern ausgeführt werden dürfen.
  • Verschaffen Sie sich einen besseren Überblick über die Aktionen Ihrer Benutzer, indem Sie Aufzeichnungen und Protokolle nutzen, die Ihnen genau zeigen, welche Befehle ein Benutzer während einer Sitzung ausgeführt hat.

Warum ist das so wichtig?

Konten, die mit weitreichenden Berechtigungen zum Verwalten der Server verwendet werden, stellen ein ernsthaftes Sicherheitsrisiko dar. Sollte eines dieser Konten angegriffen werden, kann ihr gesamtes Unternehmen weiteren Angriffen ausgesetzt sein. Jedes angegriffene Konto eröffnet neue Zugriffsmöglichkeiten auf weitere Konten und Ressourcen. Der Diebstahl von Geschäftsgeheimnissen, ein Denial-of-Service-Angriff und viele weitere Gefahren lauern.

Administrative Berechtigungen sind jedoch nicht leicht zu entfernen. Betrachten Sie das gängigen Szenario, in dem die DNS-Serverrolle auf dem gleichen Computer wie der Active Directory-Domänencontroller installiert ist. Ihre DNS-Administratoren müssen lokale Administratorberechtigungen anfordern, um Probleme mit dem DNS-Server beheben zu können. Zu diesem Zweck müssen Sie sie zu Mitgliedern der Sicherheitsgruppe „Domänen-Admins“ machen, die über weitreichende Berechtigungen verfügt. Damit erhalten DNS-Administratoren letztendlich Kontrolle über Ihre gesamte Domäne sowie Zugriff auf alle Ressourcen auf diesem Computer.

JEA kann Sie bei diesem Problem unterstützen, indem Sie das Prinzip der geringsten Berechtigungen befolgen. Mit JEA können Sie einen Verwaltungsendpunkt für DNS-Administratoren konfigurieren, die dadurch über Zugriff auf alle Befehle verfügen, die sie für ihre Arbeit benötigen – mehr jedoch nicht. Das bedeutet, dass Sie ihnen den entsprechenden Zugriff gewähren können, damit ein beschädigter DNS-Cache repariert oder der DNS-Server neu gestartet werden kann, ohne gleichzeitig unbeabsichtigt Berechtigungen für Active Directory, das Durchsuchen des Dateisystems oder die Ausführung potenziell gefährlicher Skripts zu erteilen. Wenn die JEA-Sitzung so konfiguriert ist, dass temporäre privilegierte virtuelle Konten verwendet werden, können Ihre DNS-Administratoren sogar eine Verbindung mit dem Server mithilfe von Nicht-Admin-Anmeldeinformationen herstellen und trotzdem Befehle ausführen, für die normalerweise Administratorberechtigungen erforderlich sind. Über diese Funktion können Sie Benutzer von stark privilegierten lokalen bzw. Administratorrollen der Domäne entfernen und stattdessen sorgfältig steuern, welche Aktionen sie auf jedem Computer ausführen dürfen.

Erste Schritte mit JEA

Starten Sie noch heute mithilfe von JEA auf jedem Computer, auf dem Windows Server 2016 oder Windows 10 ausgeführt wird. Sie können JEA auch unter älteren Betriebssystemen mit einem Windows Management Framework-Update ausführen. Informationen zu den Anforderungen für die Verwendung von JEA sowie zum Erstellen, Verwenden und Überprüfen eines JEA-Endpunkts finden Sie unter folgenden Themen:

© 2017 Microsoft