Demo: Wie funktioniert Just Enough Administration unter Windows Server 2016


Windows Server 2016 bringt jede Menge spannender Funktionen und Features mit sich. Insbesondere im Bereich Sicherheit gibt es viele neue Möglichkeiten, zum Beispiel Just Enough Administration.

Den Schlüsselmeister schützen und damit Risiken verringern

Um es ganz frei entsprechend des Filmklassikers Ghostbusters zu formulieren: Der Schlüsselmeister darf nicht in die Hände des Bösen fallen. Übersetzt auf IT-Umgebungen bedeutet das: Sollten die Zugangsdaten eines IT-Administrators gehackt oder gestohlen werden, droht großer Schaden, da diese den Zutritt ins Systems ermöglichen.

Just Enough Administration (JEA) bietet hier die Möglichkeit, für den Fall der Fälle den Schaden zu minimieren. Auf Basis von PowerShell kann bei Windows Server 2016 mithilfe von JEA eine rollenbasierte Administration implementiert werden. Mitarbeiter der IT-Abteilung halten dadurch nur noch auf die Bereiche eines Systems bzw. Netzwerks Zugriff, die in ihren Aufgabenbereich fallen, und damit keine vollständigen Administrationsbefugnisse. Dieser Ansatz nach dem Motto „Gerade so viel wie notwendig“ verringert den Schaden, der angerichtet werden kann, sollten die Zugangsdaten eines Administrators gehackt oder gestohlen werden.

Etwas überspitzt gesagt: Unternehmen müssen nicht länger einem technischen Mitarbeiter die komplette Kontrolle über wichtige Server geben, nur weil dieser einen einzelnen Dienst neu starten muss. Oder ein Helpdesk-Mitarbeiter muss nicht länger vollen Zugriff auf einen Rechner bekommen, nur um eine Diagnose laufen zu lassen.

Dieses kurze Video demonstriert, wie Just Enough Administration funktioniert:

So minimiert Just Enough Administration die Risiken

JEA nutzt eine Ebene mit “Least Privilege”.

  • Nutzer können nur die Aufgaben durchführen, für die sie aufgrund ihrer Rolle autorisiert wurden. Bewerkstelligt wird dies über die sog. „Constrained Runspaces“ der Windows PowerShell.
  • Nutzer können ihre Aufgaben durchführen, ohne dass sie über Administratorenrechte auf einem Server verfügen.
  • Welche Aufgaben ein Nutzer ausführen kann und auf welche Server er Zugriff hat, wird über einen zentralen Konfigurationsserver gesteuert, der dafür die PowerShell Desired State Configuration (DSC) nutzt.
  • Detaillierte Daten darüber, wer sich wann eingeloggt hat und was geändert wurden, werden aufgezeichnet.

Aber was ist mit dem Tier 1 Support, der anderen dabei helfen soll, Probleme mit einem Server oder einem PC zu beheben? Dafür stehen jede Menge diagnostische Cmdlets über PowerShell zur Verfügung, mit denen sich Fehler beheben lassen, obwohl man nur eingeschränkte Rechte für das Hinzufügen, Löschen oder Ändern von Objekten besitzt.

Weitere Informationen zu Just Enough Administration finden Sie auf folgenden Seiten:

 

Comments (0)

Skip to main content