Definition Just In Time Administration (JIT)

Was ist Just In Time Administration (JIT)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Just In Time Administration (JIT) ist die zeitabhängige Zuweisung von administrativen Berechtigungen ab Windows Server 2016.
Just In Time Administration (JIT) ist die zeitabhängige Zuweisung von administrativen Berechtigungen ab Windows Server 2016. (Bild: gemeinfrei / Pixabay)

Just In Time Administration ist eine ab dem Microsoft Betriebssystem Windows Server 2016 verfügbare Funktionalität. JIT erlaubt es, administrative Berechtigungen zeitabhängig zuzuweisen. Zusammen mit anderen Konzepten wie Just Enough Administration (JEA) lässt sich die Gefahr einer missbräuchlichen Nutzung von Administratorkennungen in Windows-Umgebungen einschränken.

Im Microsoft-Umfeld steht die Abkürzung JIT für Just In Time Administration. Es handelt sich um ein Sicherheitskonzept von Microsoft, mit dem sich administrative Rechte zeitabhängig zuweisen und wieder entziehen lassen. Benutzer erhalten die Rechte für administrative Tätigkeiten auf Anfrage für eine bestimmte Zeit und verlieren diese anschließend wieder. Zusammen mit weiteren Konzepten wie JEA (Just Enough Administration) können die ausführbaren Befehle und Funktionen einer PowerShell-Sitzung sehr fein abgestuft zugeteilt werden. JIT und JEA sind dazu geeignet, die Gefahr einer missbräuchlichen Nutzung von Administratorkennungen in Windows-Umgebungen zu reduzieren. Die Technologie ist ab der Betriebssystemversion Windows Server 2016 verfügbar.

Sichere Benutzerkonten in Windows Server 2016

Just-In-Time-Administration (JIT)

Sichere Benutzerkonten in Windows Server 2016

29.08.17 - Mit Privileged Account Management (PAM), Just-In-Time-Administration (JIT) und Just Enough Administration (JEA) können Unternehmen unter Windows Server 2016 sicherstellen, dass die Administratorkonten nicht für Angriffe auf das Netzwerk verwendet werden können, und nur die notwendigen Sicherheitsberechtigungen genau für den Zeitpunkt erhalten, der notwendig ist. lesen

Motivation für Just In Time Administration

Administrative Konten stellen eine Gefahr für Windows-Umgebungen dar, wenn sie in falsche Hände gelangen oder missbräuchlich genutzt werden. Wird dies nicht erkannt, stehen die dem Konto zugeteilten Rechte zeitlich unbegrenzt einem potenziellen Angreifer zur Verfügung. Ist beispielsweise ein Konto eines Domänen-Administrators betroffen, hat der Angreifer Zugriff auf das komplette Netzwerk und kann zahlreiche weitere Systeme kompromittieren. Auch andere Nutzeraccounts können übernommen werden. JIT versucht diese Gefahr zu reduzieren, indem Berechtigungen nur temporär vergeben werden. Die Gültigkeitsdauer der Berechtigungen ist für den Benutzer verbindlich. Ist sie abgelaufen, werden die Rechte wieder entzogen. Der Benutzer wird quasi zum Administrator auf Zeit.

Netzwerke mit Windows Server 2016 sicher betreiben

Windows Server 2016 Sicherheits-Guide

Netzwerke mit Windows Server 2016 sicher betreiben

08.06.18 - Mit jeder neuen Serverversion integriert Microsoft neue Sicherheitsfunktionen in sein Serverbetriebssystem. Um Windows Server 2016 sicher im Netzwerk zu betreiben, sollten sich Administratoren mit Security-Ansätzen wie JIT und JEA, sowie Technologien wie Shielded-VMs und PowerShell Desired State Configuration auseinandersetzen und diese möglichst auch nutzen. lesen

Die Funktionsweise von Just In Time Administration

Just In Time Administration nutzt das Privileged Access Management (PAM) von Microsoft, um den privilegierten Zugriff in Active-Directory-Umgebungen zu beschränken. Neben dem herkömmlichen Active Directory wird ein "Bastion Active Directory" eingerichtet. In diesem sind Benutzerkonten mit ihren temporär erhöhten Rechten von der vorhandenen Active-Directory-Umgebung isoliert untergebracht. Soll eines dieser Konten genutzt werden, ist dies anzufordern und zu genehmigen. Nach der Genehmigung erhält der Anwender Zugriffsrechte basierend auf einem Konto aus dem Bastion Active Directory. Nach Ablauf einer festgelegten Zeit verliert er diese Rechte wieder. Die Zeitdauer kann von wenigen Minuten bis zu Monaten betragen, darf aber niemals unendlich sein. Grundlage für die temporären Berechtigungen sind sogenannte Kerberos-Tickets.

Zusammenspiel zwischen JIT und JEA

JIT und JEA (Just Enough Administration) ergänzen sich in Ihren Funktionen und reduzieren gemeinsam das Risiko einer missbräuchlichen Nutzung von administrativen Konten. Es bietet sich an, JEA und JIT zu kombinieren. JEA ist ein Sicherheitsfeature, das eine rollenbasierte Verwaltung und Zuweisung von Rechten der mit PowerShell nutzbaren Befehle und Funktionen erlaubt. Die benutzerspezifischen Rechte sind sehr fein abgestuft, unabhängig von der Zugehörigkeit zu einer bestimmten Usergruppe einstellbar und können sich auf einzelne Cmdlets und Parameter beziehen. Neben der zeitlichen Einschränkung durch JIT realisiert JEA eine zusätzliche Kontrollmöglichkeit der Nutzung der PowerShell-Funktionen. Auch JEA ist ab Windows Server 2016 verfügbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Paradigmenwechsel bei der Datensicherung

Weg von RPO und RTO – hin zu ständiger Datenverfügbarkeit

Paradigmenwechsel bei der Datensicherung

Backup und Wiederherstellung sind an sich technische Selbstverständlichkeiten. Es geht aber für große Unternehmen längst um mehr als nur um Sicherung, sondern um ständige Verfügbarkeit – sowohl von Daten als auch von Systemen und Anwendungen. lesen

So verärgern Sie Ihre Fachabteilungen nicht mit IAM

Life Cycle-Prozesse für Berechtigungen

So verärgern Sie Ihre Fachabteilungen nicht mit IAM

Unternehmen, die sich nicht mit der Qualität der Inhalte für IAM-Prozesse befassen, laufen Gefahr, die Akzeptanz der Anwender in ihren Fachabteilungen zu verlieren, bevor sie ihre mühevoll erarbeiteten neuen IAM-Prozesse im Unternehmen einführen. lesen

Mobile Phishing – Gefahr für Nutzer und Unternehmen

Smartphones als Gefahrenquelle Nummer eins

Mobile Phishing – Gefahr für Nutzer und Unternehmen

In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen! lesen

Der gefährliche Blick auf den fremden Bildschirm

Kaspersky Visual-Hacking-Experiment

Der gefährliche Blick auf den fremden Bildschirm

Oft lassen wir in der Öffentlichkeit neugierige Dritte an unserem Privat- beziehungsweise Berufsleben teilhaben. Ein Kaspersky-Experiment im Zug zeigt nun: Nur fünf Prozent der Laptops, auf denen ein Business-Programm lief, wurden mit einer Blickschutzfolie geschützt. Unternehmen wie Privatpersonen sollten sich darüber im Klaren sein, dass der eigene Bildschirm in öffentlichen Räumen nicht wirklich privat ist. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46110083 / Definitionen)