Posouzení zabezpečení: Ujistěte se, že privilegované účty nejsou delegované.
Toto doporučení uvádí seznam všech privilegovaných účtů, které nemají povolené nastavení "není delegováno", a zvýrazňuje ty, které by mohly být vystaveny rizikům souvisejícím s delegováním. Privilegované účty jsou účty, které jsou členy privilegované skupiny, jako jsou správci domény, správci schémat atd.
Organizační riziko
Pokud je citlivý příznak zakázaný, útočníci by mohli zneužít delegování protokolu Kerberos ke zneužití privilegovaných přihlašovacích údajů účtu, což by vedlo k neoprávněnému přístupu, laterálnímu pohybu a potenciálnímu narušení zabezpečení v celé síti. Nastavení citlivého příznaku u privilegovaných uživatelských účtů zabrání uživatelům v získání přístupu k účtu a manipulaci s nastavením systému.
U účtů zařízení je nastavení na "nedelegováno" důležité, aby se zabránilo jejich použití v jakémkoli scénáři delegování a zajistilo se, že přihlašovací údaje na tomto počítači nebude možné předávat pro přístup k jiným službám.
Nápravné kroky
Projděte si seznam vystavených entit a zjistěte, které z vašich privilegovaných účtů nemají příznak konfigurace "Tento účet je citlivý a nedá se delegovat".
Proveďte u těchto účtů odpovídající akci:
Uživatelské účty: Nastavením řídicích příznaků účtu na "Tento účet je citlivý a nedá se delegovat". Na kartě Účet zaškrtněte políčko u tohoto příznaku v části Možnosti účtu. Tím zabráníte uživatelům v získání přístupu k účtu a manipulaci s nastavením systému.
Účty zařízení:
Nejbezpečnějším přístupem je použít skript PowerShellu ke konfiguraci zařízení tak, aby se zabránilo jeho použití v jakémkoli scénáři delegování. Zajistíte tak, aby přihlašovací údaje na tomto počítači nebylo možné předat pro přístup k jiným službám.$name = "ComputerA" Get-ADComputer -Identity $name | Set-ADAccountControl -AccountNotDelegated:$trueDalší možností je nastavit
UserAccountControlatribut naNOT_DELEGATED = 0x100000na kartě Atribut Editor pro vystavené zařízení.Příklady:
