Definition Just Enough Administration (JEA)

Was ist JEA (Just Enough Administration)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Just Enough Administration (JEA) ist ein Sicherheitsfeature ab Windows Server 2016 zur rollenbasierten Zuweisung von Rechten zur Nutzung der PowerShell.
Just Enough Administration (JEA) ist ein Sicherheitsfeature ab Windows Server 2016 zur rollenbasierten Zuweisung von Rechten zur Nutzung der PowerShell. (Bild: gemeinfrei / Pixabay)

Just Enough Administration (JEA) ist ein Sicherheitsfeature, das ab den Betriebssystemversionen Windows Server 2016 und Windows 10 nutzbar ist. Mithilfe des Features lassen sich die Rechte der von der PowerShell verwalteten Funktionen und Elemente rollenbasiert und sehr fein abstimmbar zuweisen.

Die Abkürzung JEA steht für Just Enough Administration. Es handelt sich um eine Sicherheitsfunktion von Microsoft Windows zur rollenbasierten Verwaltung und Zuweisung von Rechten der per PowerShell nutzbaren Funktionen und Elemente. Die Rechte sind unabhängig von der Zugehörigkeit eines Benutzers zu einer bestimmten Usergruppe fein abgestimmt einstellbar. Die Einschränkung auf einzelne Cmdlets oder Parameter ist möglich. Das JEA-Modul ist Teil des Windows PowerShell DSC Resource Kits und ab der PowerShell Version 5.0 verfügbar. Einsetzbar ist Just Enough Administration ab den Betriebssystemversionen Windows Server 2016 und Windows 10. Auch ältere Windows Server- oder Client-Systeme werden teilweise unterstützt.

Datenschutz mit Windows Server 2019

Microsoft-Netzwerke mit Exchange, SharePoint und SQL 2019 sicher betreiben

Datenschutz mit Windows Server 2019

25.06.19 - Der Schutz von personenbezogenen Daten spielt in Unternehmen eine immer wichtigere Rolle. Aus diesem Grund gibt es auch in jeder neuen Windows-Server-Version neue Funktionen, die es Administratoren ermöglichen sensible Daten optimal zu schützen. lesen

Motivation für Just Enough Administration

Die Motivation von Just Enough Administration liegt darin begründet, dass administrative Benutzerkonten zur Verwaltung von Servern oder Rechnern unter bestimmten Umständen ein Sicherheitsrisiko darstellen. Gelangt ein Angreifer an die Zugangsdaten für ein Administratorkonto, kann er andere Benutzerkonten oder komplette Serverumgebungen angreifen. Oft beinhalten administrative Konten eine Vielzahl an Rechten, die sich über komplette Domänen erstrecken. Es entsteht das Problem, dass sich Rechte für bestimmte administrative Tätigkeiten nicht einzeln, sondern nur im Block mit weiteren Rechten zuweisen lassen. Stehen nur wenige unterschiedliche Rollen als Administrator oder Nutzer zur Verfügung, erhalten Anwender häufig mehr Rechte, als zur Ausübung ihrer Tätigkeit eigentlich notwendig wären.

Just Enough Administration löst diese Problem, indem Anwendern spezifische Rechte an bestimmten Funktionen der PowerShell rollenbasiert zugewiesen werden, ohne dass sie Mitglied einer bestimmten Benutzerkontogruppe sein müssen. Die Rechte sind während einer PowerShell-Sitzung gültig und gestatten die Ausführung bestimmter PowerShell-Befehle. JEA lässt sich so konfigurieren, dass selbst Nicht-Administratoren Befehle, für die Administratorrechte notwendig sind, ausführen können. Andererseits ist es möglich, minimale Rechte für bestimmte Aufgaben an Anwender mit Administratorrechten zu erteilen. So lässt sich genau steuern, welche Aktionen auf einem Rechner durch einen Benutzer ausführbar sind.

Das Funktionskonzept von Just Enough Administration

Just Enough Administration gestattet die rollenbasierte Zuweisung von Rechten für alle per PowerShell verwaltbaren Systemfunktionen. Je nach Benutzer dürfen bestimmte Cmdlets, Parameter oder Objekte verwendet werden. Just Enough Administration erfordert die Einrichtung der beiden Komponenten JEA Toolkit Configuration und JEA Endpoint Configuration. Über JEA Toolkit Configuration lassen sich spezifische Sets an Aufgaben, Befehlen und Funktionen für bestimmte User anlegen. Die User verbinden sich über einen JEA Endpoint mit der PowerShell.

Netzwerke mit Windows Server 2016 sicher betreiben

Windows Server 2016 Sicherheits-Guide

Netzwerke mit Windows Server 2016 sicher betreiben

08.06.18 - Mit jeder neuen Serverversion integriert Microsoft neue Sicherheitsfunktionen in sein Serverbetriebssystem. Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit Security-Ansätzen wie JIT und JEA, sowie Technologien wie Shielded-VMs und PowerShell Desired State Configuration auseinandersetzen und diese möglichst auch nutzen. lesen

Über die JEA Endpoint Configuration sind dem Endpoint ein oder mehrere JEA Toolkits zugewiesen. Ist ein User per Endpoint mit der PowerShell verbunden, erhält er Zugang zur gewohnten PowerShell-Umgebung. Allerdings steuert Just Enough Administration im Hintergrund der Sitzung, welche Funktionen und Befehle verwendet werden dürfen. Neben der Steuerung von Rechten an den PowerShell-Funktionen sind in Just Enough Administration weitere Sicherheitsmaßnahmen implementiert. Unter anderem sorgt JEA für die Protokollierung aller JEA-PowerShell-Sitzungen.

Die Möglichkeiten und Vorteile von Just Enough Administration

Just Enough Administration bietet folgende Möglichkeiten und Vorteile:

  • fein abgestimmte Zuweisung von Rechten zur Systemverwaltung
  • Unabhängigkeit der Rechtezuweisung von der Mitgliedschaft eines Benutzers in einer bestimmten Gruppe
  • Einschränkung der Rechte auf einzelne Cmdlets oder Parameter
  • zentrale Verwaltung der Rechte
  • Reduzierung der Benutzer mit Administratorrechten
  • Protokollierung aller Aktionen eines Benutzers während einer PowerShell-Sitzung
Sichere Benutzerkonten in Windows Server 2016

Just-In-Time-Administration (JIT)

Sichere Benutzerkonten in Windows Server 2016

29.08.17 - Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

US-Verteidigungsministerium plant Cybersecurity Shield

Auf Basis von Blockchain

US-Verteidigungsministerium plant Cybersecurity Shield

Das Department of Defense (DoD) der USA plant nach eigenen Angaben die Entwicklung eines Blockchain-basierten Cybersecurity Shields. Dies gab die US-Behörde im Rahmen der Veröffentlichung seiner „Digital Modernization Strategy“ bekannt. lesen

Digitale Identitäten im Zentrum vieler Geschäftsprozesse

Neues eBook „Neue Aufgaben des IAM“

Digitale Identitäten im Zentrum vieler Geschäftsprozesse

Wenn Software-Entwicklung, -Betrieb und Security Hand in Hand arbeiten, können schneller Resultate erzielt werden, die Qualität wird besser und die Sicherheit steigt. Aus diesem Grund lohnt es sich, DevSecOps genauer zu betrachten. Gerade der Mittelstand kann hier profitieren, wie das neue eBook „DevSecOps im Mittelstand“ zeigt. Dabei geht es weniger um Technik, als vielmehr um neue Arbeitsformen. lesen

Warum Automated Endpoint Protection so wichtig ist

[Gesponsert]

USB-Ports als beliebtes Einfallstor für Hacker

Warum Automated Endpoint Protection so wichtig ist

Mobiles Arbeiten ist heutzutage im Sinne von mehr Flexibilität in Unternehmen und einer besseren Mitarbeiterzufriedenheit nicht mehr wegzudenken. Auf der anderen Seite vereinfacht diese Arbeitsweise den Zugriff für Hacker, wenn keine entsprechenden Schutzmaßnahmen etabliert werden. Immer häufiger finden Cyberkriminelle über Social Engineering Zugang zu Firmennetzwerken. Denn welcher Mitarbeiter rechnet schon damit, dass beispielsweise sein USB-Ladekabel oder -Adapter als Einfallstor missbraucht wird? lesen

Angriffe auf deutsche Industrieunternehmen

Cyberbedrohungen in der deutschen Wirtschaft

Angriffe auf deutsche Industrieunternehmen

Immer umfangreichere Cyberattacken haben dazu geführt, dass Organisationen sich nicht nur Gedanken über die eigene Sicherheit machen müssen, sondern auch über die Funktion von Wirtschaftsprozessen an sich. Angriffe sind gut organisiert, gezielt aber kommen gleichzeitig in riesiger Menge vor. Zudem muss man davon ausgehen, dass die Hintermänner sich weiter professionalisieren und ihre Fähigkeiten weiter ausbauen. lesen

Paradigmenwechsel bei der Datensicherung

Weg von RPO und RTO – hin zu ständiger Datenverfügbarkeit

Paradigmenwechsel bei der Datensicherung

Backup und Wiederherstellung sind an sich technische Selbstverständlichkeiten. Es geht aber für große Unternehmen längst um mehr als nur um Sicherung, sondern um ständige Verfügbarkeit – sowohl von Daten als auch von Systemen und Anwendungen. lesen

So verärgern Sie Ihre Fachabteilungen nicht mit IAM

Life Cycle-Prozesse für Berechtigungen

So verärgern Sie Ihre Fachabteilungen nicht mit IAM

Unternehmen, die sich nicht mit der Qualität der Inhalte für IAM-Prozesse befassen, laufen Gefahr, die Akzeptanz der Anwender in ihren Fachabteilungen zu verlieren, bevor sie ihre mühevoll erarbeiteten neuen IAM-Prozesse im Unternehmen einführen. lesen

Mobile Phishing – Gefahr für Nutzer und Unternehmen

Smartphones als Gefahrenquelle Nummer eins

Mobile Phishing – Gefahr für Nutzer und Unternehmen

In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen! lesen

Der gefährliche Blick auf den fremden Bildschirm

Kaspersky Visual-Hacking-Experiment

Der gefährliche Blick auf den fremden Bildschirm

Oft lassen wir in der Öffentlichkeit neugierige Dritte an unserem Privat- beziehungsweise Berufsleben teilhaben. Ein Kaspersky-Experiment im Zug zeigt nun: Nur fünf Prozent der Laptops, auf denen ein Business-Programm lief, wurden mit einer Blickschutzfolie geschützt. Unternehmen wie Privatpersonen sollten sich darüber im Klaren sein, dass der eigene Bildschirm in öffentlichen Räumen nicht wirklich privat ist. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46110085 / Definitionen)