top of page
Buscar

Just Enough Administration (JEA) no Windows Server: Guia Definitivo de Instalação, Configuração e Melhores Práticas

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • 8 de out.
  • 3 min de leitura

Introdução


No mundo da administração de sistemas, segurança e produtividade precisam andar lado a lado. Porém, conceder privilégios de administrador total a usuários ou times de suporte abre brechas sérias para ataques e erros humanos.Para resolver esse problema, a Microsoft introduziu o Just Enough Administration (JEA) no Windows Server, aplicando o princípio do menor privilégio de forma prática e controlada.


Neste guia definitivo, você vai aprender:

  • O que é o JEA no Windows Server

  • Como ele funciona e seus benefícios

  • Como instalar e configurar o JEA passo a passo

  • Casos de uso reais e melhores práticas


O que é Just Enough Administration (JEA)?


O Just Enough Administration (JEA) é um recurso do Windows Server baseado no PowerShell, que permite criar sessões de administração restritas.Nessas sessões, os usuários só podem executar os comandos e tarefas que foram previamente autorizados, reduzindo riscos e reforçando a segurança.


Em outras palavras: o JEA entrega apenas o suficiente para o usuário fazer seu trabalho, sem expor o servidor a permissões desnecessárias.


Benefícios do JEA no Windows Server


  • Segurança reforçada: reduz a exposição a ameaças, aplicando o princípio do menor privilégio.

  • Redução da superfície de ataque: limita comandos e módulos disponíveis.

  • Auditoria completa: todas as ações podem ser registradas para compliance.

  • Governança e conformidade: alinhamento com normas como LGPD, ISO 27001 e auditorias externas.


Como o JEA Funciona


O JEA é estruturado em dois componentes principais:

  1. Role Capability Files (.psrc)

    • Determinam quais comandos, funções e scripts o usuário poderá executar.

  2. Session Configuration Files (.pssc)

    • Definem quem pode acessar e como a sessão será executada.

Fluxo de funcionamento:Usuário comum → Sessão JEA (.pssc) → Role Capabilities (.psrc) → Servidor (ações restritas)

ree

Como Instalar e Configurar o JEA no Windows Server


1. Verificar versão do PowerShell

O JEA exige o Windows PowerShell 5.1 ou superior:

$PSVersionTable.PSVersion

2. Instalar módulos necessários (opcional)

Install-Module PowerShellGet -Force
Update-Module PowerShellGet

3. Criar Role Capability File (.psrc)

New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\MyJEAModule\RoleCapabilities" -ItemType Directory

New-PSRoleCapabilityFile -Path "C:\Program Files\WindowsPowerShell\Modules\MyJEAModule\RoleCapabilities\HelpDesk.psrc"

Edite o arquivo para definir comandos permitidos:

VisibleCmdlets = 'Get-Service','Restart-Service','Get-EventLog'

4. Criar Session Configuration File (.pssc)

New-PSSessionConfigurationFile `
 -Path "C:\JEAConfig\HelpDesk.pssc" `
 -SessionType RestrictedRemoteServer `
 -RunAsVirtualAccount `
 -TranscriptDirectory "C:\JEA\Transcripts"

5. Registrar a Sessão JEA

Register-PSSessionConfiguration -Name "HelpDeskJEA" -Path "C:\JEAConfig\HelpDesk.pssc"

6. Testar a Sessão JEA

Enter-PSSession -ComputerName SV-APP-ARAMIS10 -ConfigurationName HelpDeskJEA

7. Monitorar e auditar sessões

  • Listar sessões registradas:

Get-PSSessionConfiguration

  • Remover sessão JEA:

Unregister-PSSessionConfiguration -Name HelpDeskJEA

  • Verificar logs: acesse a pasta definida no -TranscriptDirectory.


Casos de Uso do JEA

  • Help Desk: reiniciar serviços e consultar logs sem acesso de administrador.

  • Suporte a Aplicações: rodar scripts específicos, sem alterar configurações críticas.

  • Auditoria: consultar status de serviços, logs e relatórios sem poder modificá-los.


Comparativo: Administração Tradicional vs JEA

Modelo

Acesso

Risco

Auditoria

Administração Tradicional

Conta de administrador com acesso total

Alto

Limitada

Just Enough Administration (JEA)

Sessão restrita com permissões mínimas

Baixo

Completa

Melhores Práticas na Implementação do JEA


  • Utilize contas comuns para acessar sessões JEA.

  • Configure logs de auditoria sempre habilitados.

  • Revise regularmente as permissões nos arquivos .psrc.

  • Crie diferentes sessões para diferentes times (Help Desk, Suporte, Auditoria).

  • Combine o JEA com MFA, Microsoft LAPS e Defender for Identity.


Conclusão


O Just Enough Administration (JEA) é uma ferramenta essencial no arsenal de qualquer administrador de Windows Server. Ao permitir que cada usuário execute apenas o necessário para sua função, você reduz riscos, reforça a governança e ainda mantém a produtividade da equipe.


👉 Se sua organização busca segurança, controle e conformidade, implementar o JEA no Windows Server deve estar no seu próximo roadmap de TI.

 
 
 

Posts recentes

Ver tudo

Comentários

bottom of page