Essential Guide

Funktionen und Features von Windows 10

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Rollenbasierter Server-Zugriff mit PowerShell Just Enough Administration (JEA)

Die PowerShell 5.0 bringt den rollenbasierten Server-Zugriff mit PowerShell JEA. Damit können auch Nicht-Admins privilegierte Rechte erhalten.

Der große Versionssprung auf die PowerShell-Version 5, der mit dem Release von Windows 10 und Windows Server 2016...

einhergeht, beschert Microsofts Scripting-Umgebung einige der innovativsten Neuerungen seit Jahren. Als eine der wichtigsten neuen Funktionen ist hier die Paketverwaltung per OneGet-Framework zu nennen, aber auch an der Desired State Configuration hat Microsoft weiter gearbeitet und mit dem ConvertFrom-String-Cmdlet gibt es in der PowerShell 5.0 jetzt eine neue Möglichkeit zum Parsen unstrukturierter Daten-Strings.

Mit Just Enough Administration (JEA) wird ein weiteres ziemlich umfangreiches neues Feature eingeführt, dessen Konzept zwar bereits auf der TechEd Nordamerika 2014 für Windows Server 2012 R2 vorgestellt wurde, das aber erst jetzt mit Windows Server 2016 final Einzug in die PowerShell hält. PowerShell JEA bietet die Möglichkeit zur Konfiguration rollenbasierter Zugriffsrechte, mit denen Mitarbeiter bedarfsgerecht mit privilegierten Rechten ausgestattet werden können, ohne hierzu pauschal Administrationsrechte erhalten zu müssen.

Wofür brauchen Unternehmen PowerShell JEA?

Microsoft selbst nennt als einen der wichtigsten Gründe für die Nutzung von PowerShell Just Enough Administration verärgerte Mitarbeiter und Whistleblower, die mit Administrationsrechten sowohl intern immensen Schaden anrichten als auch geschäftskritische Informationen entwenden könnten. Wenngleich dieses Szenario nicht ganz von der Hand zu weisen ist, lässt sich das Risiko im Umgang mit Unternehmensdaten auch mit PowerShell JEA nie vollständig ausschalten, sondern allenfalls minimieren. Zusätzlich stellt sich die Frage, ob das Misstrauen in die eigenen Mitarbeiter eine geeignete Ausgangslage für die weitere Zusammenarbeit ist.

Der Angriffsvektor des Passwortdiebstahls durch Phishing oder Brute-Force-Angriffe ist eine weitere Rechtfertigung für den Einsatz von PowerShell JEA. Ist ein Administrator-Passwort erst einmal in die Hände eines Angreifers gefallen, steht geübten Hackern gerade über die PowerShell Tür und Tor des Unternehmensnetzwerkes offen. Über die Mechanismen der Just Enough Administration kann der Schaden minimiert werden, da die privilegierten Zugriffsrechte eines Mitarbeiters hierbei nicht auf einer Administrator-Rolle basieren, sondern lediglich während einer JEA-Sitzung bestehen.

Wie funktioniert Just Enough Administration?

PowerShell JEA basiert auf dem Konzept rollenbasierter Zugriffskontrolle. Je nach Rolle und Position im Unternehmen erhalten Mitarbeiter also unterschiedliche Zugriffsrechte auf Firmenressourcen. Microsoft kritisiert an bestehenden Systemen zur Zugriffskontrolle, dass oft nur zwei Rollen vorhanden sind: Administrator oder Nicht-Administrator. Wenn Mitarbeiter also privilegierte Rechte erhalten sollen, bleibt meist nichts anderes übrig, als ihnen eher zu viel als zu wenig Zugriffsrechte zu übertragen.

Mit Just Enough Administration will Microsoft dieses Alles-oder-Nichts-Problem umgehen, indem entsprechenden Anwendern ganz spezifische administrative Aufgaben übertragen werden können, ohne dass hierfür auch gleich Administratorrechte nötig wären. Unabhängig von den vergebenen Rechten macht die Verwendung von JEA die Vergabe von Zugriffsrechten auch sicherer, weil die Rechte nur jeweils während einer bestimmten PowerShell-Sitzung gültig sind.

Grundsätzlich läuft PowerShell JEA nämlich über eine Remote-Sitzung ab. Selbst wer also am lokalen System sitzt und dort per Just Enough Administration arbeitet, wählt sich mit seinem PowerShell-Account zunächst per PowerShell-Remoting am sogenannten JEA-Endpoint an – der in diesem Fall der lokale Rechner wäre, an dem er sitzt. Der tatsächliche PowerShell-Account ohne Administrationsrechte greift dabei über den JEA-Account auf einen virtuellen privilegierten Account zu, der nur so lange besteht, wie auch die Remote-Sitzung aktiv ist.

Standardmäßig ist ein virtueller JEA-Account Mitglied der lokalen Administrator-Gruppe, auf Domänen-Controllern gleichzeitig auch Mitglied der Domänen-Administratoren. PowerShell JEA funktioniert derzeit nur auf Windows Server 2016 Technical Preview 4 oder Windows Server 2012/2012 R2, in beiden Fällen muss das Windows Management Framework 5.0 installiert sein.

Rollendefinitionen legen Zugriffsrechte fest

Die einzelnen Zugriffsrechte lassen sich für jeden Nutzer sehr granular über Rollendefinitionen in der Session-Configuration-Datei festlegen. Diese Datei hat in der JEA-Architektur eine zentrale Bedeutung, da hier neben den Rollendefinitionen der PowerShell-Nutzer zum Beispiel auch festgelegt wird, welche Session-Konfiguration vorliegt (Session Type) oder wer überhaupt Zugriff auf die Sitzung hat (Security Descriptor Definition Language, SDDL).

Die Rollendefinitionen wiederum basieren auf Role Capabilities, über die festgelegt wird, welcher Gruppe ein PowerShell-Anwender angehört und welche Zugriffsrechte er auf einem JEA-Endpunkt erhält. Geregelt wird dies über eine Whitelist an möglichen Befehlen, Geräten oder Applikationen.

Meldet sich ein PowerShell-Nutzer dann über PowerShell-Remoting und PowerShell JEA an einem JEA-Endpunkt an, sieht die PowerShell-Umgebung auf den ersten Blick unverändert aus. Im Hintergrund läuft die Sitzung aber über den virtuellen Admin-Account ab, der dem Nutzer ein klar definiertes Set an PowerShell-Befehlen vorgibt. Was nicht explizit über die Whitelist freigegeben ist, kann so auch nicht gesehen oder angesprochen werden.

Wer als Administrator eine JEA-Umgebung aufsetzt, muss dabei zwei grundlegende Komponenten einrichten: die JEA Toolkit Configuration und die JEA Endpoint Configuration. Die JEA Toolkit Configuration ist das spezifische Set an Aufgaben und Befehlen, die bestimmte Anwender benötigen. Ein SQL-Admin würde hier Zugriffsrechte auf andere Ressourcen erhalten als ein Exchange-Admin, ein Help-Desk-Mitarbeiter wiederum ganz andere. Die Endpoint Configuration besteht dann aus den unterschiedlichen JEA Toolkits für die jeweiligen Mitarbeiter.

Um vor allem die Toolkit-Konfiguration etwas einfacher zu gestalten, hat Microsoft über die TechNet Gallery das JEA Helper Tool bereitgestellt, mit dem sich die nötigen PowerShell-Skripte für Role Capabilities oder SDDL über eine grafische Benutzeroberfläche erstellen lassen.

Die erlaubten Aufgaben und Zugriffsrechte werden durch einen zentralen Konfigurationsserver verwaltet, der hierfür die PowerShell Desired State Configuration (DSC) nutzt. Dabei wird die JEA-Konfiguration der Endpunkte über den DSC-Push-Modus mit dem Konfigurationsserver synchronisiert.

Logging und Whitelist: Sicherheit geht vor

Neben den sehr strikten Zugriffsrechten hat Microsoft auch weitere Sicherheitsmaßnahmen in PowerShell JEA integriert, so werden standardmäßig beispielsweise alle JEA-Sitzungen mitprotokolliert, um sämtliche Änderungen nachvollziehbar zu machen.

Auf den ersten Blick mag es auch verwundern, dass es zwar eine Whitelist, aber keine Blacklist gibt. Microsoft begründet aber auch dies mit den enorm hohen Sicherheitsstandards, die für PowerShell JEA gelten. Eine Blacklist sperrt bestimmte Befehle, gibt alle anderen aber frei. Wer hierbei nicht sorgsam genug plant, der könnte Zusammenhänge übersehen, die später die ganzen Sicherheitsmechanismen der Just Enough Administration aushebeln.

Laut Microsoft ist die Logik der JEA darauf ausgerichtet, gezielt einige wenige Ressourcen freizugeben, und nicht etwa eine große Anzahl über eine Blacklist zu sperren. Mit der ausschließlichen Möglichkeit zum Whitelisting will Microsoft Administratoren also auch zwingen, sich mit den freigegebenen Befehlen sorgfältig auseinanderzusetzen.

Aus Sicherheitsgründen muss beim Erstellen der Whitelist zudem darauf geachtet werden, JEA-Nutzern keinen Zugriff auf die JEA-eigenen Skripte zu gewähren, die von den JEA-Endpunkten für die Rollen- und Zugriffzuteilung genutzt werden. Andernfalls ist es geübten PowerShell-Anwendern ein Leichtes, sich selbst weitere Zugriffsrechte und Ressourcen zuzuweisen und so die Sicherheitsbeschränkungen zu umgehen.

Über die TechNet Gallery stellt Microsoft eine umfangreiche technische Anleitung für die ersten Schritte mit der PowerShell JEA bereit, mit der sich in einer Testumgebung Funktionen und Möglichkeiten testen lassen.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Funktionen und Features von Windows 10

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close