Partager via

Évaluation de la sécurité : délégation Kerberos non sécurisée

  • Article

Qu’est-ce que la délégation Kerberos ?

La délégation Kerberos est un paramètre de délégation qui permet aux applications de demander des informations d’identification d’accès à l’utilisateur final pour accéder aux ressources pour le compte de l’utilisateur d’origine.

Quel risque la délégation Kerberos non sécurisée pose-t-elle à une organisation ?

La délégation Kerberos non sécurisée donne à une entité la possibilité de vous emprunter l’identité d’un autre service choisi. Par exemple, imaginez que vous disposez d’un site web IIS et que le compte de pool d’applications est configuré avec une délégation non contrainte. Le site web IIS dispose également de l’authentification Windows activée, autorisant l’authentification Kerberos native et le site utilise un serveur SQL Server principal pour les données métier. Avec votre compte de Administration domaine, vous accédez au site web IIS et vous vous y authentifiez. Le site web, en utilisant la délégation non contrainte, peut obtenir un ticket de service à partir d’un contrôleur de domaine vers le service SQL et le faire dans votre nom.

Le principal problème avec la délégation Kerberos est que vous devez faire confiance à l’application pour toujours faire la bonne chose. Les acteurs malveillants peuvent au lieu de cela forcer l’application à faire la mauvaise chose. Si vous êtes connecté en tant qu’administrateur de domaine, le site peut créer un ticket pour les autres services souhaités, agissant comme vous, l’administrateur du domaine. Par exemple, le site peut choisir un contrôleur de domaine et apporter des modifications au groupe d’administration d’entreprise. De même, le site peut acquérir le hachage du compte KRBTGT ou télécharger un fichier intéressant à partir de votre service Ressources humaines. Le risque est clair et les possibilités de délégation non sécurisée sont presque infinies.

Voici une description du risque posé par différents types de délégation :

  • Délégation non contrainte : tout service peut être abusé si l’une de ses entrées de délégation est sensible.
  • Délégation contrainte : les entités contraintes peuvent être abusées si l’une de leurs entrées de délégation est sensible.
  • Délégation contrainte basée sur les ressources (RBCD) : les entités contraintes basées sur des ressources peuvent être abusées si l’entité elle-même est sensible.

Comment puis-je utiliser cette évaluation de sécurité ?

  1. Passez en revue l’action recommandée à https://security.microsoft.com/securescore?viewid=actions pour découvrir quelles entités de contrôleur de non-domaine sont configurées pour la délégation Kerberos non sécurisée.

    Évaluation de la sécurité de la délégation Kerberos non sécurisée.

  2. Prenez les mesures appropriées sur ces utilisateurs à risque, telles que la suppression de leur attribut non contraint ou leur modification en une délégation contrainte plus sécurisée.

Remarque

Les évaluations sont mises à jour en quasi temps réel, mais les scores et les états le sont toutes les 24 heures. La liste des entités concernées est mise à jour dans les quelques minutes suivant la mise en œuvre des recommandations, mais la mise à jour de l’état peut prendre un certain temps avant qu’il ne soit signalé comme Terminé.

Correction

Utilisez la correction appropriée pour votre type de délégation.

Délégation sans contrainte

Désactivez la délégation ou utilisez l’un des types de délégation Kerberos contrainte (KCD) suivants :

  • Délégation contrainte : limite les services auxquels ce compte peut emprunter l’identité.

    1. Sélectionnez N’approuver cet ordinateur que pour la délégation aux services spécifiés.

      Remédiation de la délégation Kerberos sans contrainte.

    2. Spécifiez les Services auxquels ce compte peut présenter des informations d’identification déléguées.

  • Délégation contrainte basée sur les ressources : limite les entités qui peuvent emprunter l’identité de ce compte.
    La KCD basée sur la ressource est configurée à l’aide de PowerShell. Vous devez utiliser les applets de commande Set-ADComputer ou Set-ADUser, selon que le compte d’emprunt est un compte d’ordinateur ou un compte de service/compte d’utilisateur.

Délégation contrainte

Passez en revue les utilisateurs sensibles répertoriés dans les recommandations et supprimez-les des services auxquels le compte affecté peut présenter des informations d’identification déléguées.

Remédiation de la délégation Kerberos avec contraintes.

Délégation contrainte basée sur les ressources (RBCD)

Passez en revue les utilisateurs sensibles répertoriés dans les recommandations et supprimez-les de la ressource. Pour plus d’informations sur la configuration RBCD, consultez Configurer la délégation Kerberos contrainte (KCD) dans Microsoft Entra Domain Services.

Étapes suivantes