Suchen

Definition Just In Time Administration (JIT) Was ist Just In Time Administration (JIT)?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Just In Time Administration ist eine ab dem Microsoft Betriebssystem Windows Server 2016 verfügbare Funktionalität. JIT erlaubt es, administrative Berechtigungen zeitabhängig zuzuweisen. Zusammen mit anderen Konzepten wie Just Enough Administration (JEA) lässt sich die Gefahr einer missbräuchlichen Nutzung von Administratorkennungen in Windows-Umgebungen einschränken.

Just In Time Administration (JIT) ist die zeitabhängige Zuweisung von administrativen Berechtigungen ab Windows Server 2016.
Just In Time Administration (JIT) ist die zeitabhängige Zuweisung von administrativen Berechtigungen ab Windows Server 2016.
(Bild: gemeinfrei / Pixabay )

Im Microsoft-Umfeld steht die Abkürzung JIT für Just In Time Administration. Es handelt sich um ein Sicherheitskonzept von Microsoft, mit dem sich administrative Rechte zeitabhängig zuweisen und wieder entziehen lassen. Benutzer erhalten die Rechte für administrative Tätigkeiten auf Anfrage für eine bestimmte Zeit und verlieren diese anschließend wieder. Zusammen mit weiteren Konzepten wie JEA (Just Enough Administration) können die ausführbaren Befehle und Funktionen einer PowerShell-Sitzung sehr fein abgestuft zugeteilt werden. JIT und JEA sind dazu geeignet, die Gefahr einer missbräuchlichen Nutzung von Administratorkennungen in Windows-Umgebungen zu reduzieren. Die Technologie ist ab der Betriebssystemversion Windows Server 2016 verfügbar.

Motivation für Just In Time Administration

Administrative Konten stellen eine Gefahr für Windows-Umgebungen dar, wenn sie in falsche Hände gelangen oder missbräuchlich genutzt werden. Wird dies nicht erkannt, stehen die dem Konto zugeteilten Rechte zeitlich unbegrenzt einem potenziellen Angreifer zur Verfügung. Ist beispielsweise ein Konto eines Domänen-Administrators betroffen, hat der Angreifer Zugriff auf das komplette Netzwerk und kann zahlreiche weitere Systeme kompromittieren. Auch andere Nutzeraccounts können übernommen werden. JIT versucht diese Gefahr zu reduzieren, indem Berechtigungen nur temporär vergeben werden. Die Gültigkeitsdauer der Berechtigungen ist für den Benutzer verbindlich. Ist sie abgelaufen, werden die Rechte wieder entzogen. Der Benutzer wird quasi zum Administrator auf Zeit.

Die Funktionsweise von Just In Time Administration

Just In Time Administration nutzt das Privileged Access Management (PAM) von Microsoft, um den privilegierten Zugriff in Active-Directory-Umgebungen zu beschränken. Neben dem herkömmlichen Active Directory wird ein "Bastion Active Directory" eingerichtet. In diesem sind Benutzerkonten mit ihren temporär erhöhten Rechten von der vorhandenen Active-Directory-Umgebung isoliert untergebracht. Soll eines dieser Konten genutzt werden, ist dies anzufordern und zu genehmigen. Nach der Genehmigung erhält der Anwender Zugriffsrechte basierend auf einem Konto aus dem Bastion Active Directory. Nach Ablauf einer festgelegten Zeit verliert er diese Rechte wieder. Die Zeitdauer kann von wenigen Minuten bis zu Monaten betragen, darf aber niemals unendlich sein. Grundlage für die temporären Berechtigungen sind sogenannte Kerberos-Tickets.

Zusammenspiel zwischen JIT und JEA

JIT und JEA (Just Enough Administration) ergänzen sich in Ihren Funktionen und reduzieren gemeinsam das Risiko einer missbräuchlichen Nutzung von administrativen Konten. Es bietet sich an, JEA und JIT zu kombinieren. JEA ist ein Sicherheitsfeature, das eine rollenbasierte Verwaltung und Zuweisung von Rechten der mit PowerShell nutzbaren Befehle und Funktionen erlaubt. Die benutzerspezifischen Rechte sind sehr fein abgestuft, unabhängig von der Zugehörigkeit zu einer bestimmten Usergruppe einstellbar und können sich auf einzelne Cmdlets und Parameter beziehen. Neben der zeitlichen Einschränkung durch JIT realisiert JEA eine zusätzliche Kontrollmöglichkeit der Nutzung der PowerShell-Funktionen. Auch JEA ist ab Windows Server 2016 verfügbar.

(ID:46110083)

Über den Autor