Microsoft implementa nuevos controles para aumentar la seguridad en el manejo de credenciales en las organizaciones y restringir la concesión de privilegios a lo estrictamente necesario, el principio de la administración Just-In-Time que aplica Privileged Access Management PAM se complementa con Just Enough Administration para asegurar los privilegios correctos.
Just Enough Administration define un conjunto de cmdlets de Windows PowerShell para realizar actividades con privilegios, donde los administradores autorizan o habilitan los privilegios requeridos justo antes de que un usuario pueda realizar una tarea determinada y se conceden durante un período de tiempo. JEA es la tecnología de seguridad que habilita la administración delegada con Windows PowerShell, incluye compatibilidad para la ejecución bajo una identidad de red, la conexión a través de PowerShell Direct y la copia segura a y desde puntos de conexión de JEA.
JEA es parte del paquete Windows Management Framework 5.0 con soporte desde Server 2008 R2 y define un control de acceso basado en roles RBAC. El primer paso es crear un archivo de configuración para la sesión de Windows PowerShell con extensión .pssc, para ello se utiliza el cmdlet New-PSSessionConfigurationFile como se muestra a continuación:
New-PSSessionConfigurationFile -Path "$env:Programdata\<JEAConfigDirectory>\<filename>.pssc"
El contenido del archivo de configuración generado se puede ver en la siguiente imagen:
El necesario configurar los siguientes parámetros en el archivo:
SessionType como RestrictedRemoteServer
SessionType = ‘ RestrictedRemoteServer’
Para que la sesión se ejecute con privilegios de administrador descomentar
# RunAsVirtualAccount = $ True
Configurar y descomentar la sección
# Roledefintions………..
Después de generar y configurar el archivo de configuración, se registra utilizando el cmdlet Register-PSSessionConfiguration como se muestra en el ejemplo:
Register-PSSessionConfiguration -Name <Name> -Path "ruta\<JEAConfigDirectory>\<filename>.pssc"
Para verificar el funcionamiento se puede conectar al equipo con una sesión remota de PowerShell.
Enter-PSSession -ComputerName <Name> -ConfigurationName <JEAConfigName> -Credential $cred
El cmdlet New-PSRoleCapabilityFile permite crear otro archivo para definir qué comandos y aplicaciones son visibles para las funciones, utiliza la extensión .psrc.
New-PSRoleCapabilityFile -Path "$env:Programdata\<JEAConfigDirectory>\<filename>.psrc"
Este archivo contiene secciones en las que puede definir qué módulos importar y qué funciones y cmdlets están expuestos, en la siguiente imagen se muestra el resultado del archivo creado.
Para empezar se recomienda, utilizar plantillas predefinidas con New-PSRoleCapabilityFile -Path <path> y New-PSSessionConfigurationFile -Path <Path> sin ningún otro argumento, los archivos generados contienen todos los campos de configuración aplicables, junto con comentarios que explican para qué puede usarse cada campo. De esta forma es sencillo crear un punto de conexión de JEA en un sistema habilitado y utilizando un editor de texto como PowerShell ISE.
Para ayudar en la implementación de JEA, está disponible JEA Helper Tool para su descarga en : https://gallery.technet.microsoft.com/JEA-Helper-Tool-20-6f9c49dd, que proporciona una GUI con la que crear archivos de configuración de sesión y generar funcionalidades de rol basadas en los registros de Windows PowerShell.
JEA Helper Tool es compatible con los siguientes sistemas operativos:
- Windows Server 2016
- Windows Server 2012 o 2012 R2 con WMF 5.0 RTM
Esta publicada información adicional sobre esta herramienta en la siguiente dirección de Internet: https://blogs.technet.microsoft.com/privatecloud/2015/12/20/introducing-the-updated-jea-helper-tool
Seguridad a lo Jabalí para Todos!!