PowerShell JEA : Just Enough Administration

1. Présentation

Concernant la connexion à distance avec PowerShell, il faut par défaut être administrateur local de la machine sur laquelle on souhaite se connecter pour avoir les permissions nécessaires. Si sur de petits environnements ce paradigme peut être suffisant, dès lors que l’on aborde de grands parcs cela se concrétise souvent par l’utilisation de comptes fortement privilégiés pour l’administration à distance.

Les leçons tirées du chapitre PowerShell Empire nous enseignent que la compromission de ce type de compte est une très mauvaise chose, ces derniers permettant au mieux à un attaquant de se déplacer latéralement, au pire de prendre le contrôle du domaine.

Comme on l’a vu dans la section précédente, l’implémentation technique de la gestion des privilèges d’accès à distance avec PowerShell est complexe, car elle repose sur de nombreux mécanismes (WSman, WinRM, PSSessions, WMI et RPC, ou encore DCOM) qui peuvent tous jouer un rôle. De plus, ces mécanismes ne permettent pas une gestion différenciée des droits de chaque utilisateur. Il ne serait pas possible de donner à Frédéric les privilèges sur l’administration du DNS du domaine, et à Arnaud ceux sur les registres des différentes machines.

Proposé depuis PowerShell...

Pour consulter la suite, découvrez le livre suivant :
couv_EPCYBPOW.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Remote PowerShell
Suivant
Constrained Language Mode et AppLocker