Admin-Aufgaben delegieren mit Just Enough Administration (JEA)

Die Möglichkeiten der Delegierung sind aber je nach System­komponente verschieden und setzen in einigen Fällen voraus, dass User in bestimmte administrative Gruppen aufgenommen werden müssen. Eine feine Abstufung der Berechtigungen ist damit nicht gegeben. Hinzu kommt, dass die Vergabe von Rechten in jedem Tool anders und somit uneinheitlich erfolgt.

Demgegenüber wartet JEA mit einem durchgängig konsistenten Ansatz auf, indem es ein Rollenkonzept auf Basis von PowerShell verfolgt. Es gilt für alle System­funktionen, die sich mit PowerShell verwalten lassen. Das damit realisierte Prinzip des Least Privilege sieht vor, nur noch die tatsächlich minimalen Rechte für bestimmte Aufgaben und Dienste an administrative Mitarbeiter zu erteilen.

Dieses Vorgehen macht auch dann Sinn, wenn man den Schaden durch gestohlene Admin-Credentials begrenzen möchte, weil die Angreifer dann nicht mehr den vollen Umfang administrativer Rechte besitzen.

Das Konzept hinter JEA

Auf PowerShell übersetzt heißt das, dass Benutzer auf die Verwendung bestimmter Cmdlets, Objekte oder Parameter beschränkt werden. Hat der User hierbei nicht alle erforderlichen Rechte erlangt, lassen sich diese im Nachgang immer online nacharbeiten.

Die Architektur basiert immer auf JEA-Endpoints, mit denen sich der Bediener verbindet, um vorgegebene Befehle dann remote via Enter-PSSession mit höheren Rechten auf Systemen ausführen zu können.

Dafür sind Role Capability Files (*.psrc) nötig, welche genau definieren, was der Inhaber einer Rolle ausführen darf (etwa dedizierte Cmdlets). Zusätzlich werden Session Configuration Files (*.pssc) angelegt, die Benutzer und Gruppen mit diesen Rollen verbinden.

Das Konzept und die grundlegende Konfiguration bedürfen einiger Einarbeitung, liefern schlussendlich jedoch ein ausbaufähiges Gerüst samt feiner Abstimmung.

Voraussetzungen für JEA

Just Enough Administration ist verfügbar ab PowerShell 5.0 und demnach sofort einsatzfähig mit Windows Server 2016 und Windows 10 ab 1607. Darüber hinaus unterstützt Microsoft auch Windows Server 2012 (R2) und Client-Betriebssysteme wie Windows 8.1 oder eingeschränkt Windows 7. Um JEA für diese Vorversionen verwenden zu können, ist das Windows Management Framework 5.x notwendig.

Da JEA auf PowerShell-Remoting basiert, muss dieses notfalls mit Enable-PSRemoting eingeschaltet werden. Unter Windows Server 2012 (R2) und 2016 ist es jedoch standardmäßig aktiv. Bei Aktivierung startet gleichzeitig der WinRM-Dienst und zusätzlich werden einige Änderungen am System vorgenommen, dazu zählen auch die nötigen Firewall-Regeln.

Anwendungsbeispiele einer Just Enough Administration

Alle Features und Rollen in Windows Server, welche mit PowerShell verwaltet werden können, sind demnach potentielle Kandidaten für eine JEA. Beispiele, die Microsoft hier gerne anführt, wären Domänen-Controller samt DNS-Server-Rolle. Als DNS-Admin braucht man bisher auf diesen Servern weitgehende Rechte wie die des Domänen-Admins, nur um die Rolle des DNS zu warten.

JEA macht es möglich, bestimmte Cmdlets rund um den DNS auf die Whitelist zu setzen und granular zu bestimmen, in welchem Scope der DNS-Admin operieren darf. Zu meinen Favoriten rund um JEA gehören die spezifisch eingeschränkte Administration von Hyper-V, Failover-Clustering und Storage Spaces Direct.

Vor allem Hyper-V mit seiner pauschalen Administration über Bordmittel, welche nur lokale Administratoren oder Hyper-V Administratoren mit weitgehenden Rechten zulässt, profitiert von den JEA-Möglichkeiten.