Admin-Aufgaben delegieren mit Just Enough Administration (JEA)

    Just Enough AdministrationGerade genug Admini­stration (Just enough Administration) ist ein Feature in Windows 10 und Server 2016, mit der sich die System­ver­waltung mittels Power­Shell fein granular dele­gieren lässt. Unab­hängig von der Gruppen­mit­glied­schaft eines Benutzers kann seine Remote-Session mit JEA auf bestimmte Cmdlets oder gar einzelne ihrer Para­meter einge­schränkt werden.

    Das Konzept einer Delegierung von administrativen Aufgaben an normale Benutzer wurde unter Windows schon lange umgesetzt. So sieht besonders das Active Directory die relativ feinkörnige Autorisierung von Benutzern vor, beispielsweise für das Management von Gruppenrichtlinien oder beim Zurücksetzen von Passwörtern.

    Bisher inkonsistente Delegierung

    Die Möglichkeiten der Delegierung sind aber je nach System­komponente verschieden und setzen in einigen Fällen voraus, dass User in bestimmte administrative Gruppen aufgenommen werden müssen. Eine feine Abstufung der Berechtigungen ist damit nicht gegeben. Hinzu kommt, dass die Vergabe von Rechten in jedem Tool anders und somit uneinheitlich erfolgt.

    Beispiel GPO-Management: Aufgaben lassen sich hier über die GPMC delegieren, für andere Features sind andere Tools zuständig.

    Demgegenüber wartet JEA mit einem durchgängig konsistenten Ansatz auf, indem es ein Rollenkonzept auf Basis von PowerShell verfolgt. Es gilt für alle System­funktionen, die sich mit PowerShell verwalten lassen. Das damit realisierte Prinzip des Least Privilege sieht vor, nur noch die tatsächlich minimalen Rechte für bestimmte Aufgaben und Dienste an administrative Mitarbeiter zu erteilen.

    Dieses Vorgehen macht auch dann Sinn, wenn man den Schaden durch gestohlene Admin-Credentials begrenzen möchte, weil die Angreifer dann nicht mehr den vollen Umfang administrativer Rechte besitzen.

    Das Konzept hinter JEA

    Auf PowerShell übersetzt heißt das, dass Benutzer auf die Verwendung bestimmter Cmdlets, Objekte oder Parameter beschränkt werden. Hat der User hierbei nicht alle erforderlichen Rechte erlangt, lassen sich diese im Nachgang immer online nacharbeiten.

    Das Konzept von JEA: die Endpoint-Schnittstellen können von einem dedizierten Server bereitgestellt werden

    Die Architektur basiert immer auf JEA-Endpoints, mit denen sich der Bediener verbindet, um vorgegebene Befehle dann remote via Enter-PSSession mit höheren Rechten auf Systemen ausführen zu können.

    Dafür sind Role Capability Files (*.psrc) nötig, welche genau definieren, was der Inhaber einer Rolle ausführen darf (etwa dedizierte Cmdlets). Zusätzlich werden Session Configuration Files (*.pssc) angelegt, die Benutzer und Gruppen mit diesen Rollen verbinden.

    Das Konzept und die grundlegende Konfiguration bedürfen einiger Einarbeitung, liefern schlussendlich jedoch ein ausbaufähiges Gerüst samt feiner Abstimmung.

    Voraussetzungen für JEA

    Just Enough Administration ist verfügbar ab PowerShell 5.0 und demnach sofort einsatzfähig mit Windows Server 2016 und Windows 10 ab 1607. Darüber hinaus unterstützt Microsoft auch Windows Server 2012 (R2) und Client-Betriebssysteme wie Windows 8.1 oder eingeschränkt Windows 7. Um JEA für diese Vorversionen verwenden zu können, ist das Windows Management Framework 5.x notwendig.

    Da JEA auf PowerShell-Remoting basiert, muss dieses notfalls mit Enable-PSRemoting eingeschaltet werden. Unter Windows Server 2012 (R2) und 2016 ist es jedoch standardmäßig aktiv. Bei Aktivierung startet gleichzeitig der WinRM-Dienst und zusätzlich werden einige Änderungen am System vorgenommen, dazu zählen auch die nötigen Firewall-Regeln.

    Anwendungsbeispiele einer Just Enough Administration

    Alle Features und Rollen in Windows Server, welche mit PowerShell verwaltet werden können, sind demnach potentielle Kandidaten für eine JEA. Beispiele, die Microsoft hier gerne anführt, wären Domänen-Controller samt DNS-Server-Rolle. Als DNS-Admin braucht man bisher auf diesen Servern weitgehende Rechte wie die des Domänen-Admins, nur um die Rolle des DNS zu warten.

    JEA macht es möglich, bestimmte Cmdlets rund um den DNS auf die Whitelist zu setzen und granular zu bestimmen, in welchem Scope der DNS-Admin operieren darf. Zu meinen Favoriten rund um JEA gehören die spezifisch eingeschränkte Administration von Hyper-V, Failover-Clustering und Storage Spaces Direct.

    Eine Administration mit Hyper-V-Bordmitteln findet standardmäßig unter einem großen Aktionsradius statt.

    Vor allem Hyper-V mit seiner pauschalen Administration über Bordmittel, welche nur lokale Administratoren oder Hyper-V Administratoren mit weitgehenden Rechten zulässt, profitiert von den JEA-Möglichkeiten.

    Keine Kommentare