magnify
Home Identity Just Enough Administration Guide – 17 Kasım Server 2016 Day Etkinliği Demo İçeriği
formats

Just Enough Administration Guide – 17 Kasım Server 2016 Day Etkinliği Demo İçeriği

Merhaba, Microsoft Türkiye tarafından gerçekleştirilecek olan Windows Server etkinliğinde yapacağım sunum içerisinde eğer sizlerde benim ile beraber en yeni güvenlik çözümlerinden biri olan Just Enough Administration JEA demosu yapmak istiyorsanız aşağıdaki hazırlıkları yapmanız ve etkinliğe iki sanal makine çalıştıracak bir laptop ile gelmeniz yeterli. Etkinlik kayıtları dolduğu için ek olarak etkinlik linkini paylaşmıyorum, sadece kayıt olmuş ve gelecekler için bilgi paylaşmak istedim.

Demo için gerekli olan Domain ortamındaki bir sunucu, bir de istemci için sistem gereksinimleri aşağıdaki gibidir;

Windows Server

Windows Client

Öncelikle Sunucu işletim sistemi üzerinde uzak powershell desteğini açıyoruz

Enable-PSRemoting

Daha sonra demo ortamında kullanılacak ve admin hakkı olmayan bir grup ile o gruba üye bir kullanıcı tanımlayın

Kullanıcımız Serkan, grubumuz ise “JEA_NonAdmin_Operator”

Daha sonra bu role için yani nonadmin_operator için neler yapabileceğine karar veriyoruz bunu ps olarak kayıt edin ve çalıştırın

# Fields in the role capability

$MaintenanceRoleCapabilityCreationParams = @{

Author = ‘Cozumpark Admin’

CompanyName = ‘Cozumpark’

VisibleCmdlets = ‘Restart-Service’

FunctionDefinitions =

@{ Name = ‘Get-UserInfo’; ScriptBlock = { $PSSenderInfo } }

}

# Create the demo module, which will contain the maintenance Role Capability File

New-Item -Path “$env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module” -ItemType Directory

New-ModuleManifest -Path “$env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1”

New-Item -Path “$env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities” -ItemType Directory

# Create the Role Capability file

New-PSRoleCapabilityFile -Path “$env:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\Maintenance.psrc” @MaintenanceRoleCapabilityCreationParams

Daha sonra Demo session için configuration dosyasını oluşturuyoruz

# Determine domain

$domain = (Get-CimInstance -ClassName Win32_ComputerSystem).Domain

# Replace with your non-admin group name

$NonAdministrator = “$domain\JEA_NonAdmin_Operator”

# Specify the settings for this JEA endpoint

# Note: You will not be able to use a virtual account if you are using WMF 5.0 on Windows 7 or Windows Server 2008 R2

$JEAConfigParams = @{

SessionType = ‘RestrictedRemoteServer’

RunAsVirtualAccount = $true

RoleDefinitions = @{

$NonAdministrator = @{ RoleCapabilities = ‘Maintenance’ }

}

TranscriptDirectory = “$env:ProgramData\JEAConfiguration\Transcripts”

}

# Set up a folder for the Session Configuration files

if (-not (Test-Path “$env:ProgramData\JEAConfiguration”))

{

New-Item -Path “$env:ProgramData\JEAConfiguration” -ItemType Directory

}

# Specify the name of the JEA endpoint

$sessionName = ‘JEA_Demo’

if (Get-PSSessionConfiguration -Name $sessionName -ErrorAction SilentlyContinue)

{

Unregister-PSSessionConfiguration -Name $sessionName -ErrorAction Stop

}

New-PSSessionConfigurationFile -Path “$env:ProgramData\JEAConfiguration\JEADemo.pssc” @JEAConfigParams

# Register the session configuration

Register-PSSessionConfiguration -Name $sessionName -Path “$env:ProgramData\JEAConfiguration\JEADemo.pssc”

Bunu da benzer şekilde ps1 yapıp çalıştırıyoruz.

Bunu yaptıktan sonra bunu görüntülüyoruz

Get-PSSessionConfiguration

Powershell için loglamayı açıyoruz, zaman sınırı var ise bu bölümü atlayabilirsiniz

Enable PowerShell Module Logging (Optional)

The following steps enable logging for all PowerShell actions on your system. You don’t need to enable this for JEA to work, but it will be useful in the Reporting on JEA section.

  1. Open the Local Group Policy Editor
  2. Navigate to “Computer Configuration\Administrative Templates\Windows Components\Windows PowerShell”
  3. Double Click on “Turn on Module Logging”
  4. Click “Enabled”
  5. In the Options section, click on “Show” next to Module Names
  6. Type “*” in the pop up window. This means PowerShell will log commands from all modules.
  7. Click OK and apply the policy

Şimdi uygulama zamanı, istemci makineye nonadmin_operation grubu üyesi birisi ile logon olun, örneğin bizde Serkan kullanıcısı

Daha sonra powershell açıp sırası ile aşağıdaki komutları kullanın

$NonAdminCred = Get-Credential

Enter-PSSession -ComputerName DC1 -ConfigurationName JEA_Demo -Credential $NonAdminCred

DC1 benim sunucu ismim

Get-Command

Get-userinfo

Gördüğünüz gibi virtual bir hesap üzerinden ilgili komutlar çalıştırılacak

Restart-Service -Name Spooler -Verbose

Şimdi yetkimiz olmayan bir şey deneyelim

Restart-computer

İşimiz bitti

Exit-pssesion

Diğer Komutlar

about_Session_Configurations

New-PSSession

Disable-PSSessionConfiguration

Enable-PSSessionConfiguration

Get-PSSessionConfiguration

New-PSSessionConfigurationFile

Register-PSSessionConfiguration

Set-PSSessionConfiguration

Test-PSSessionConfigurationFile

Unregister-PSSessionConfiguration

Get-PSSessionCapability

New-PSRoleCapabilityFile

Kaynak

https://msdn.microsoft.com/tr-tr/powershell/jea/readme

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Just Enough Administration Guide – 17 Kasım Server 2016 Day Etkinliği Demo İçeriği için yorumlar kapalı  comments 
© Hakan Uzuner
credit