Just Enough Administration (JEA) é uma tecnologia de segurança poderosa no Windows Server que permite limitar os privilégios administrativos, fornecendo aos usuários apenas as permissões necessárias para executar tarefas específicas. Isso minimiza os riscos associados a direitos administrativos amplos e melhora a segurança geral da infraestrutura de TI. Este artigo orientará você através do processo de configuração do JEA no Windows Server.

Introdução ao JEA

JEA ajuda a reduzir a superfície de ataque em seus servidores ao conceder aos usuários a capacidade de executar tarefas administrativas sem fornecer-lhes direitos administrativos completos. Ele é implementado através do Windows PowerShell e configurações de sessão, permitindo um controle detalhado sobre as ações que os usuários podem executar.

Pré-requisitos

• Windows Server 2016 ou posterior instalado.
• Windows PowerShell 5.0 ou superior.
• Conhecimento básico do PowerShell e da administração do Windows Server.

Passo 1: Instalar o Módulo do PowerShell para JEA

O primeiro passo é garantir que você tenha o módulo PowerShell necessário para JEA instalado. Abra o PowerShell como administrador e execute o seguinte comando para verificar se o módulo ‘PSDesiredStateConfiguration’ está instalado:

Get-Module -ListAvailable PSDesiredStateConfiguration

Se não estiver instalado, você pode instalar o módulo via PowerShell Gallery usando:

Install-Module -Name PSDesiredStateConfiguration

Passo 2: Criar um Arquivo de Configuração de Sessão do PowerShell

Você precisará criar um arquivo de configuração de sessão do PowerShell (.pssc) para definir as capacidades do usuário na sessão JEA. Este arquivo especifica quais comandos os usuários podem executar, quais módulos eles podem acessar, e outras configurações importantes.

1. Crie o Arquivo PSSC: Use um editor de texto para criar um novo arquivo chamado MyJeaEndpoint.pssc com o seguinte conteúdo de exemplo:

@{
    SessionType = 'RestrictedRemoteServer'
    TranscriptDirectory = 'C:\Transcripts\JEA'
    RunAsVirtualAccount = $true
    RoleDefinitions = @{
        'CONTOSO\Domain Admins' = @{
            RoleCapabilities = 'Everything'
        }
        'CONTOSO\JEAUsers' = @{
            RoleCapabilities = 'BasicNetworking', 'ReadOnly'
        }
    }
}

2. Salve o arquivo: Escolha um local seguro para salvar o arquivo .pssc.

Passo 3: Criar Arquivos de Capacidade de Função

Os arquivos de capacidade de função (.psrc) definem o que um usuário pode fazer em uma sessão JEA. Você pode criar múltiplos arquivos .psrc para diferentes funções de usuário.

1. Crie o Arquivo PSRC: Crie um arquivo chamado BasicNetworking.psrc com definições que permitam ao usuário executar comandos de rede básicos. Salve este arquivo em um diretório conhecido como RoleCapabilities.

@{
    VisibleCmdlets = 'Get-NetIPAddress', 'Get-NetAdapter'
}

2. Repita para Outras Capacidades: Crie outros arquivos .psrc conforme necessário para diferentes grupos de usuários e capacidades.

Passo 4: Registrar o Ponto de Extremidade JEA

Após criar os arquivos .pssc e .psrc, você precisa registrar o ponto de extremidade JEA no servidor.

Register-PSSessionConfiguration -Name 'MyJeaEndpoint' -Path '.\MyJeaEndpoint.pssc'

Passo 5: Testar a Configuração JEA

Finalmente, teste sua configuração JEA para garantir que ela funcione conforme esperado. Use o comando Enter-PSSession para conectar ao ponto de extremidade JEA com um usuário que tenha permissão para usar o JEA.

Enter-PSSession -ComputerName localhost -ConfigurationName MyJeaEndpoint -Credential (Get-Credential)

Conclusão

O Just Enough Administration (JEA) é uma ferramenta essencial para melhorar a segurança dos seus servidores Windows, minimizando os riscos associados a privilégios administrativos excessivos. Seguindo os passos acima, você pode configurar o JEA para fornecer aos usuários apenas as permissões necessárias para realizar suas tarefas, reforçando a postura de segurança da sua infraestrutura de TI.