Posouzení zabezpečení: Nezabezpečené delegování kerberos
Co je delegování protokolu Kerberos?
Delegování kerberos je nastavení delegování, které aplikacím umožňuje požadovat přihlašovací údaje koncového uživatele pro přístup k prostředkům jménem původního uživatele.
Jaké riziko pro organizaci představuje nezabezpečené delegování protokolu Kerberos?
Nezabezpečené delegování protokolu Kerberos dává entitě možnost zosobnit vás jakékoli jiné zvolené službě. Představte si například, že máte web služby IIS a účet fondu aplikací je nakonfigurovaný na unconstrained delegování. Web služby IIS má také povolené ověřování systému Windows, které umožňuje nativní ověřování protokolem Kerberos, a web používá back-endový SQL Server pro obchodní data. Pomocí účtu domain Správa přejdete na web služby IIS a ověříte ho. Web, který používá bez omezení delegování, může získat lístek služby z řadiče domény do služby SQL, a to vaším jménem.
Hlavním problémem delegování protokolu Kerberos je, že potřebujete důvěřovat tomu, aby aplikace vždy dělala správnou věc. Aktéři se zlými úmysly můžou místo toho aplikaci přinutit, aby udělala špatnou věc. Pokud jste přihlášeni jako správce domény, může web vytvořit lístek pro jakékoli další služby, které si přeje, a jednat jako vy, správce domény. Web může například zvolit řadič domény a provést změny ve skupině podnikových správců . Podobně by web mohl získat hodnotu hash účtu KRBTGT nebo stáhnout zajímavý soubor z oddělení lidských zdrojů. Riziko je jasné a možnosti nezabezpečeného delegování jsou téměř nekonečné.
Následuje popis rizika, které představují různé typy delegování:
- Unconstrained delegování: Jakákoli služba může být zneužita, pokud je některá z položek delegování citlivá.
- Omezené delegování: Omezené entity je možné zneužít, pokud je jedna z jejich položek delegování citlivá.
- Omezené delegování založené na prostředcích (RBCD): Omezené entity založené na prostředcích je možné zneužít, pokud je samotná entita citlivá.
Návody použít toto posouzení zabezpečení?
Projděte si doporučenou akci v části https://security.microsoft.com/securescore?viewid=actions a zjistěte, které z vašich entit řadičů domény jsou nakonfigurované pro nezabezpečené delegování protokolu Kerberos.
U rizikových uživatelů proveďte příslušná opatření, například odeberte jejich nespoutaný atribut nebo ho změňte na bezpečnější omezené delegování.
Poznámka
Zatímco se hodnocení aktualizují téměř v reálném čase, skóre a stavy se aktualizují každých 24 hodin. I když se seznam ovlivněných entit aktualizuje během několika minut od implementace doporučení, může stav ještě nějakou dobu trvat, než se označí jako Dokončeno.
Náprava
Použijte nápravu odpovídající vašemu typu delegování.
Unconstrained delegování
Delegování buď zakažte, nebo použijte jeden z následujících typů omezeného delegování Kerberos (KCD):
Omezené delegování: Omezuje služby, které může tento účet zosobnit.
Vyberte Důvěřovat tomuto počítači pro delegování pouze na zadané služby.
Zadejte služby, kterým může tento účet předložit delegovaná pověření.
Omezené delegování založené na prostředcích: Omezuje entity, které se můžou vydávat za tento účet.
KCD založené na prostředcích se konfiguruje pomocí PowerShellu. Použijte rutiny Set-ADComputer nebo Set-ADUser v závislosti na tom, jestli je zosobňujícím účtem účet počítače nebo uživatelský účet nebo účet služby.
Omezené delegování
Zkontrolujte citlivé uživatele uvedené v doporučeních a odeberte je ze služeb, kterým může ovlivněný účet prezentovat delegované přihlašovací údaje.
Omezené delegování založené na prostředcích (RBCD)
Zkontrolujte citlivé uživatele uvedené v doporučeních a odeberte je z prostředku. Další informace o konfiguraci RBCD najdete v tématu Konfigurace omezeného delegování protokolu Kerberos (KCD) v Microsoft Entra Doménové služby.