L’uso di PowerShell per gestire Windows è oggi una pratica diffusa. Questo articolo condividerà il meccanismo di sicurezza di PowerShell che ho appreso di recente: JEA, Just Enough Administration, gestione del sistema appena sufficiente.
Esiste una preoccupazione nascosta nel metodo tradizionale di autorizzazione degli account altamente privilegiati (account altamente privilegiati). Una volta che un hacker entra in possesso di un account con privilegi elevati, può utilizzarlo per spostarsi all’interno dell’organizzazione (chiamato “movimento laterale” in termini di sicurezza). Maggiore è l’autorità dell’account ad alto privilegio, maggiore è il rischio.
Nella filosofia della sicurezza informatica esiste il cosiddetto “Principio del privilegio minimo” (PoLP). Ad esempio, se concedi l’autorizzazione di lettura solo a una cartella specifica per eseguire operazioni, non concedere l’autorizzazione di scrittura all’intero disco. In questo modo, anche se l’account è controllato da un hacker, non può essere utilizzato per leggere file di sistema o scrivere contenuti dannosi.
JEA di PowerShell è una tecnologia sviluppata sulla base di questo concetto del principio del privilegio minimo. Combina gMSA (ulteriori letture: utilizzare gMSA per rendere più sicure le pianificazioni di Windows e gli account di servizio), WinRM e le definizioni delle funzioni dei ruoli per ottenere un ambiente sicuro che “consente ad account specifici di aprire connessioni remote di PowerShell per eseguire istruzioni predefinite”.
Per quanto riguarda JEA, MS Learn è la fonte di riferimento più autorevole e completa. Questo articolo utilizzerà un semplice laboratorio di implementazione per mostrarti l’impostazione e il funzionamento di JEA.
Abilita la gestione remota di PowerShell
Eseguire con privilegi di amministratore Enable-PSRemoting Il sistema configurerà automaticamente WinRM e abiliterà le corrispondenti regole di eccezione di Windows Firewall (la porta HTTP 5985 è abilitata per impostazione predefinita, se si desidera utilizzare la trasmissione crittografata HTTPS 5986, è necessario impostarla manualmente).
Nota: JEA è essenzialmente un endpoint remoto PowerShell limitato (SessionType è RestrictedRemoteServer). Gli utenti devono connettersi tramite comandi remoti come Enter-PSSession o New-PSSession, quindi si basa sul protocollo WinRM, sulla trasmissione crittografata e sul controllo delle autorizzazioni ACL.
Creare un file di capacità del ruolo (file di capacità del ruolo)
Il passo successivo è creare il file funzione del ruolo .psrc, definendo il ruolo e le sue azioni eseguibili:
-
Creare una nuova cartella del modulo PowerShell e una sottocartella RoleCapabilities in Programmi
$modulePath = Join-Path $Env:ProgramFiles "WindowsPowerShell\Modules\JEALab" $rcFolder = Join-Path $modulePath "RoleCapabilities" New-Item -ItemType Directory -Path $rcFolder -Force -
Creare un elenco di informazioni sul modulo vuoto (è necessario almeno un file con lo stesso nome della cartella per identificarlo come modulo)
$moduleManifestPath = Join-Path $modulePath "JEALab.psd1" New-ModuleManifest -Path $moduleManifestPath -RootModule "JEALab.psm1" -
Creare un file delle funzioni del ruolo
$psrcPath = Join-Path $rcFolder "Maintenance.psrc" New-PSRoleCapabilityFile -Path $psrcPath -
Aprire il file Maintenance.psrc per elencare i cmdlet eseguibili
Trova il percorso dell’esempio VisibleCmdlets e modificalo per aggiungere due istruzioniVisibleCmdlets = @('Get-Service', 'Restart-Service')
Crea file di configurazione della sessione (File di configurazione della sessione)
Un file di configurazione della sessione (.pssc) definisce chi può accedere a un endpoint JEA, i ruoli assegnati e le identità che JEA utilizza dietro le quinte per eseguire i comandi.
# 1. 定義角色對應 (將目前登入帳號對應到上面建立的 Maintenance 角色)
$roles = @{
"$env:COMPUTERNAME\$env:USERNAME" = @{ RoleCapabilities="Maintenance" }
}
# 2. 定義組態檔參數
$parameters = @{
# 設定使用 RestrictedRemoteServer 類型
SessionType="RestrictedRemoteServer"
# 指定路徑
Path=".\JEALabEndpoint.pssc"
# 以本機虛擬帳號執行(具 Administrators 群組權限)
RunAsVirtualAccount = $true
RoleDefinitions = $roles
}
# 3. 產生組態檔
New-PSSessionConfigurationFile @parameters
# 4. 測試設定檔語法是否正確
Test-PSSessionConfigurationFile -Path .\JEALabEndpoint.pssc
Nota: RunAsVirtualAccount specifica un account virtuale da eseguire, che avrà le autorizzazioni del gruppo Administrators per impostazione predefinita, ma puoi anche specificare RunAsVirtualAccountGroups per specificare un gruppo con autorizzazioni più piccole. fare riferimento a
Registra l’endpoint JEA e il test di connessione
Dopo aver completato i file .psrc e .pssc, l’ultimo passaggio consiste nel registrare l’endpoint JEA nel sistema. Le seguenti istruzioni possono completare la registrazione e riavviare il servizio WinRM per abilitare ufficialmente l’endpoint JEA.
Register-PSSessionConfiguration -Path .\JEALabEndpoint.pssc -Name 'JEALabEndpoint' -Force
Quindi fai alcuni semplici test:
# 連線到剛才建立的 JEA 端點
Enter-PSSession -ComputerName 'localhost' -ConfigurationName 'JEALabEndpoint'
# 只會看到 Get-Service 與 Restart-Service
Get-Command
# Get-Service 可正常執行
Get-Service
# 不在白名單的 Get-Process 會出現錯誤
Get-Process
# 不允許使用變數及程式語言指令 (RestrictedRemoteServer 為 NoLanguage 模式)
$test = 1
# 結束連線
Eixt-PSSession
Prova riuscita!
Annulla la registrazione dell’endpoint JEA
Per rimuovere l’ambiente sperimentale creato sopra, puoi eseguire Unregister-PSSessionConfiguration -Name 'JEALabEndpoint' -Force Annulla la registrazione.
connessione remota
Per connettersi al server su cui si trova JEALabEndpoint da un altro computer (client/host remoto), se entrambe le parti appartengono allo stesso dominio e l’identità di accesso è l’account di dominio specificato corrispondente al ruolo, utilizzare Enter-PSSession -ComputerName 'JEA伺服器名稱' -ConfigurationName 'JEALabEndpoint' Una volta connesso, Windows gestirà automaticamente l’autenticazione Kerberos per utenti e server; se si tratta di un gruppo di lavoro o di domini diversi sono necessari passaggi aggiuntivi:
- Aggiungi il server JEA all’elenco “TrustedHosts” di WinRM:
Set-Item WSMan:\localhost\Client\TrustedHosts -Value <JEA伺服器IP或電腦名稱> - Specificare un’identità durante la connessione:
Enter-PSSession -ComputerName '<JEA伺服器IP>' -ConfigurationName 'JEALabEndpoint' -Credential (Get-Credential)
Presentazione di PowerShell Just Enough Administration (JEA) e gestione dei server con privilegi minimi. Esplora i laboratori pratici che abilitano la comunicazione remota, definiscono le capacità dei ruoli, stabiliscono le configurazioni delle sessioni, registrano gli endpoint JEA e testano comandi remoti limitati.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
