Suojauksen arviointi: Suojaamaton Kerberos-delegointi
Mikä kerberos-delegointi on?
Kerberos-delegointi on delegointiasetus, jonka avulla sovellukset voivat pyytää loppukäyttäjän käyttöoikeuksia resurssien käyttämiseksi alkuperäkäyttäjän puolesta.
Mitä riskejä suojaamaton Kerberos-delegointi aiheuttaa organisaatiolle?
Suojaamaton Kerberos-delegointi antaa entiteetille mahdollisuuden tekeytyä toiseksi valitulle palvelulle. Kuvitellaan esimerkiksi, että sinulla on IIS-sivusto ja sovellussarjatili on määritetty rajoittamattomalla delegoinnilla. IIS-sivustossa on käytössä myös Windows-todennus, joka sallii alkuperäisen Kerberos-todennuksen, ja sivusto käyttää taustatietojen SQL Server yritystiedoille. Toimialuetilisi Hallinta avulla voit siirtyä IIS-sivustoon ja todentaa sen. Rajoittamatonta delegointia käyttävä sivusto voi saada palvelupyynnön toimialueen ohjauskoneesta SQL-palveluun ja tehdä sen sinun nimissäsi.
Kerberos-delegoinnin suurin ongelma on se, että sinun on luotettava siihen, että sovellus toimii aina oikein. Pahantahtoiset toimijat voivat sen sijaan pakottaa sovelluksen tekemään väärin. Jos olet kirjautunut sisään toimialueen järjestelmänvalvojana, sivusto voi luoda lipun mihin tahansa muihin palveluihin, joita se haluaa toimialueen järjestelmänvalvojana. Sivusto voi esimerkiksi valita toimialueen ohjauskoneen ja tehdä muutoksia yrityksen järjestelmänvalvojaryhmään . Vastaavasti sivusto voi hankkia KRBTGT-tilin hajautuksen tai ladata kiinnostavan tiedoston henkilöstöhallinto-osastoltasi. Riski on selvä ja turvattoman delegoinnin mahdollisuudet ovat lähes rajattomat.
Seuraavassa on kuvaus eri delegointityyppien aiheuttamasta riskistä:
- Rajoittamaton delegointi: Mitä tahansa palvelua voidaan käyttää väärin, jos jokin sen delegointimerkinnöistä on arkaluonteinen.
- Rajoitettu delegointi: Rajoitettuja entiteettejä voidaan käyttää väärin, jos jokin niiden delegointimerkinnöistä on arkaluonteinen.
- Resurssipohjainen rajoitettu delegointi (RBCD): Resurssipohjaisia rajoitettuja entiteettejä voidaan käyttää väärin, jos itse entiteetti on herkkä.
Ohjevalikko käyttää tätä suojausarviointia?
Tutustu suositeltuun toimintoon osoitteessa https://security.microsoft.com/securescore?viewid=actions selvittääksesi, mitkä muut kuin toimialueen ohjauskoneen entiteetit on määritetty suojaamatonta Kerberos-delegointia varten.
Tee asianmukaisia toimia riskialttiille käyttäjille, esimerkiksi poista rajoittamaton määrite tai muuta se turvallisemmaksi rajoitetuksi delegoinniksi.
Huomautus
Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutus entiteettien luetteloa päivitetään muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tila saattaa silti kestää kauan, ennen kuin se merkitään valmiiksi.
Parannus
Käytä delegointityypille sopivaa korjausta.
Rajoittamaton delegointi
Poista delegointi käytöstä tai käytä jotakin seuraavista rajoitetun Kerberos-delegoinnin (KCD) tyypeistä:
Rajoitettu delegointi: Rajoittaa, mille palveluille tämä tili voi tekeytyä.
Valitse Luota tähän tietokoneeseen vain määritettyihin palveluihin delegointia varten.
Määritä palvelut, joille tämä tili voi esittää delegoidut tunnistetiedot.
Resurssipohjainen rajoitettu delegointi: Rajoittaa sitä, mitkä entiteetit voivat tekeytyä tiliksi.
Resurssipohjainen KCD on määritetty PowerShellin avulla. Set-ADComputer- tai Set-ADUser-cmdlet-komentoja sen mukaan, onko tekeytyvä tili tietokonetili vai käyttäjätili tai palvelutili.
Rajoitettu delegointi
Tarkista suosituksissa luetellut luottamukselliset käyttäjät ja poista heidät palveluista, joille kyseinen tili voi esittää delegoidut tunnistetiedot.
Resurssipohjainen rajoitettu delegointi (RBCD)
Tarkista suosituksissa luetellut arkaluonteiset käyttäjät ja poista heidät resurssista. Lisätietoja RBCD:n määrittämisestä on kohdassa Rajoitetun Kerberos-delegoinnin (KCD) määrittäminen Microsoft Entra -toimialuepalvelut.