的时效性票证
这个用户登录后会连接到一台工作站执行管理操作,有了JEA可能特权组都不一定非要给Domain Admins,普通的管理员组就可以完成,因为幕后会有藏好的虚拟账户执行管理操作,当用户在工作站执行生产林管理操作的时候,能执行的命令操作受JEA配置文件的限制,且管理操作完全通过虚拟账户执行,当JIT时效到期后,用户将完全失去到生产林及工作站的管理权限。
针对于需要获取权限的堡垒林用户开启多因子验证。
对主机和虚拟机进行安全绑定,确保虚拟机只能在允许的主机启动,每次虚拟机启动需要经过验证,虚拟机无法被拷贝到其它主机启动。
微软特权访问管理