JEA 角色能力

创建 JEA 端点时，您需要定义一个或多个角色功能来描述某人可以在 JEA 会话中执行的操作。角色功能是一个扩展名为 .psrc 的 PowerShell 数据文件，其中列出了可供连接用户使用的所有 cmdlet、函数、提供程序和外部程序。

确定允许哪些命令

创建角色能力文件的第一步是考虑用户需要访问哪些内容。需求收集过程可能需要一段时间，但这很重要。授予用户访问权限的 cmdlet 和功能太少可能会妨碍他们完成工作。允许访问过多的 cmdlet 和功能可能会让用户执行超出您预期的操作，并削弱您的安全立场。

您如何进行此过程取决于您的组织和目标。以下提示可以帮助确保您走在正确的道路上。

1. 识别用户用来完成工作的命令。这可能涉及调查 IT 员工、检查自动化脚本或分析 PowerShell 会话记录和日志。
2. 在可能的情况下，将命令行工具的使用更新为 PowerShell 等效工具，以获得最佳审核和 JEA 自定义体验。外部程序无法像 JEA 中的本机 PowerShell cmdlet 和函数那样受到精细约束。
3. 限制 cmdlet 的范围仅允许特定参数或参数值。如果用户只管理系统的一部分，这一点尤其重要。
4. 创建自定义函数来替换复杂命令或难以在 JEA 中约束的命令。包装复杂命令或应用附加验证逻辑的简单函数可以为管理员和最终用户提供额外的简单控制。
5. 使用您的用户或自动化服务测试允许命令的范围列表，并根据需要进行调整。

潜在危险命令的示例

仔细选择命令对于确保 JEA 端点不允许用户提升其权限非常重要。

这很重要

用户成功所需的基本信息 JEA 会话中的命令通常以提升的权限运行。

以下列表包含如果在不受约束的状态下允许则可以恶意使用的命令示例。这不是一个详尽的列表，只能作为一个谨慎的起点。

• 风险：授予连接用户管理员权限以绕过 JEA

  示例：

  Add-LocalGroupMember -Member 'CONTOSO\jdoe' -Group 'Administrators'
  

  相关命令：

  Add-ADGroupMember

Add-LocalGroupMember

net.exe

dsadd.exe

Start-Process -FilePath '\san\share\malware.exe'

Start-Process

New-Service

Invoke-Item

Invoke-WmiMethod

Invoke-CimMethod

Invoke-Expression

Invoke-Command

New-ScheduledTask

Register-ScheduledJob

创建角色能力文件

您可以使用 New-PSRoleCapabilityFile cmdlet 创建新的 PowerShell 角色功能文件。

New-PSRoleCapabilityFile -Path .\MyFirstJEARole.psrc

您应该编辑创建的角色功能文件以仅允许该角色所需的命令。 PowerShell 帮助文档包含几个有关如何配置该文件的示例。

允许 PowerShell cmdlet 和函数

要授权用户运行 PowerShell cmdlet 或函数，请将 cmdlet 或函数名称添加到 VisibleCmdlet 或 VisibleFunctions 字段。如果不确定命令是 cmdlet 还是函数，可以运行 Get-Command