登录  |  注册
当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] JEA 安全注意事项

作者:精品下载站 日期:2024-12-14 02:58:38 浏览:12 分类:玩电脑

JEA 安全注意事项

JEA 通过减少计算机上的永久管理员数量来帮助您改善安全状况。 JEA 使用 PowerShell 会话配置为用户创建管理系统的新入口点。需要对计算机进行提升但不是无限制的访问权限以执行管理任务的用户可以被授予对 JEA 端点的访问权限。由于 JEA 允许这些用户在没有完全管理员访问权限的情况下运行管理命令,因此您可以从高特权安全组中删除这些用户。

运行方式帐户

每个 JEA 端点都有一个指定的运行方式帐户,连接用户的操作将在该帐户下执行。该帐户可在会话配置文件中配置,您选择的帐户对终端的安全性有重大影响。

虚拟帐户是配置运行方式帐户的推荐方式。虚拟帐户是一次性临时本地帐户,为连接用户在其 JEA 会话期间使用而创建。一旦他们的会话终止,虚拟帐户就会被销毁并且无法再使用。连接用户不知道虚拟帐户的凭据。虚拟帐户不能用于通过其他方式(例如远程桌面或不受约束的 PowerShell 端点)访问系统。

默认情况下,虚拟帐户是计算机上本地管理员组的成员。此成员资格赋予他们管理系统上任何内容的完全权限,但无权管理网络上的资源。当用户从 JEA 会话连接到其他计算机时,用户上下文是本地计算机帐户的上下文,而不是虚拟帐户的上下文。

域控制器是一种特殊情况,因为没有本地管理员组。相反,虚拟帐户属于域管理员,并且可以管理域控制器上的目录服务。域标识在实例化 JEA 会话的域控制器上的使用仍然受到限制。任何网络访问似乎都来自域控制器计算机对象。

在这两种情况下,您都可以将虚拟帐户分配给特定的安全组,特别是当无需本地或域管理员权限即可完成任务时。如果您已为管理员定义了安全组,请将虚拟帐户成员身份授予该组。虚拟帐户的组成员资格仅限于工作站和成员服务器上的本地安全组。在域控制器上,虚拟帐户必须是域安全组的成员。一旦虚拟帐户被添加到一个或多个安全组,它就不再属于默认组(本地或域管理员)。

下表总结了虚拟帐户的可能配置选项和生成的权限:

Computer type Virtual account group configuration Local user context Network user context Domain controller Default Domain user, member of <DOMAIN>\Domain Admins Computer account Domain controller Domain groups A and B Domain user, member of <DOMAIN>\A, <DOMAIN>\B Computer account Member server or workstation Default Local user, member of BUILTIN\Administrators Computer account Member server or workstation Local groups C and D Local user, member of <COMPUTER>\C and <COMPUTER>\D Computer account

当您查看安全审核和应用程序事件日志时,您会看到每个 JEA 用户会话都有一个唯一的虚拟帐户。这个独特的帐户可帮助您跟踪 JEA 端点中的用户操作,追溯到运行该命令的原始用户。虚拟帐户名称遵循格式 WinRM Virtual Users\WinRM_VA___

猜你还喜欢

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

精品推荐!
欢迎 访客 登录没有账号?
  • 最新文章
  • 热门文章
  • 热评文章
最新评论
    热门tag
    友情链接

    关灯