Compartir a través de

Evaluación de seguridad: delegación de Kerberos no segura

  • Artículo

¿Qué es la delegación de Kerberos?

La delegación de Kerberos es una configuración de delegación que permite a las aplicaciones solicitar credenciales de acceso de usuario final para acceder a los recursos en nombre del usuario de origen.

¿Qué riesgo supone la delegación kerberos no segura para una organización?

La delegación de Kerberos no segura proporciona a una entidad la capacidad de suplantarle a cualquier otro servicio elegido. Por ejemplo, imagine que tiene un sitio web de IIS y que la cuenta del grupo de aplicaciones está configurada con delegación sin restricciones. El sitio web de IIS también tiene habilitada la autenticación de Windows, lo que permite la autenticación Kerberos nativa, y el sitio usa un SQL Server back-end para los datos empresariales. Con la cuenta de Administración dominio, vaya al sitio web de IIS y autentíquese en él. El sitio web, mediante la delegación sin restricciones, puede obtener un vale de servicio de un controlador de dominio al servicio SQL y hacerlo en su nombre.

El problema principal con la delegación de Kerberos es que debe confiar en la aplicación para hacer siempre lo correcto. En su lugar, los actores malintencionados pueden forzar a la aplicación a hacer lo incorrecto. Si ha iniciado sesión como administrador de dominio, el sitio puede crear un vale para cualquier otro servicio que desee, actuando como usted, el administrador de dominio. Por ejemplo, el sitio podría elegir un controlador de dominio y realizar cambios en el grupo de administración de empresa . Del mismo modo, el sitio podría adquirir el hash de la cuenta KRBTGT o descargar un archivo interesante del departamento de recursos humanos. El riesgo es claro y las posibilidades con delegación no segura son casi infinitas.

A continuación se muestra una descripción del riesgo que suponen los distintos tipos de delegación:

  • Delegación sin restricciones: se puede abusar de cualquier servicio si una de sus entradas de delegación es confidencial.
  • Delegación restringida: las entidades restringidas se pueden abusar si una de sus entradas de delegación es confidencial.
  • Delegación restringida basada en recursos (RBCD): las entidades restringidas basadas en recursos se pueden abusar si la propia entidad es confidencial.

Cómo usar esta evaluación de seguridad?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuál de las entidades del controlador de dominio no está configurada para la delegación de Kerberos no segura.

    Evaluación de seguridad de delegación kerberos no segura.

  2. Tome las medidas adecuadas para los usuarios en riesgo, como quitar su atributo sin restricciones o cambiarlo a una delegación restringida más segura.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Remediación

Use la corrección adecuada para el tipo de delegación.

Delegación sin restricciones

Deshabilite la delegación o use uno de los siguientes tipos de delegación restringida de Kerberos (KCD):

  • Delegación restringida: Restringe los servicios que esta cuenta puede suplantar.

    1. Seleccione Confiar en este equipo para la delegación sólo a los servicios especificados.

      Corrección de delegación de Kerberos sin restricciones.

    2. Especifique los servicios a los que esta cuenta puede presentar credenciales delegadas.

  • Delegación restringida basada en recursos: Restringe qué entidades pueden suplantar esta cuenta.
    KCD basado en recursos se configura mediante PowerShell. Use los cmdlets Set-ADComputer o Set-ADUser , en función de si la cuenta de suplantación es una cuenta de equipo o una cuenta de usuario o cuenta de servicio.

Delegación restringida

Revise los usuarios confidenciales que aparecen en las recomendaciones y quítelos de los servicios a los que la cuenta afectada puede presentar credenciales delegadas.

Corrección de delegación de Kerberos restringida.

Delegación restringida basada en recursos (RBCD)

Revise los usuarios confidenciales que aparecen en las recomendaciones y quítelos del recurso. Para obtener más información sobre cómo configurar RBCD, vea Configurar la delegación restringida de Kerberos (KCD) en Servicios de dominio de Microsoft Entra.

Pasos siguientes