Condividi tramite


Panoramica della delega vincolata Kerberos

Questa panoramica per i professionisti IT descrive le nuove funzionalità per la delega vincolata Kerberos in Windows Server 2012 R2 e Windows Server 2012.

Descrizione delle funzionalità

La delega vincolata Kerberos è stata introdotta in Windows Server 2003 per offrire un tipo di delega più sicura utilizzabile dai servizi. Dopo la configurazione, la delega vincolata limita i servizi su cui può agire il server specificato per conto di un utente. Sono necessari privilegi di amministratore del dominio per configurare un account di dominio per un servizio e limitare l'account a un solo dominio. Nelle aziende attuali, i servizi front-end non sono progettati per limitarsi all'integrazione con i soli servizi presenti nel medesimo dominio.

Nei sistemi operativi precedenti, in cui il servizio è configurato dall'amministratore del dominio, l'amministratore del servizio non dispone di un modo utile per scoprire quali servizi front-end sono delegati ai servizi relativi alle risorse di loro proprietà. Qualsiasi servizio front-end che può delegare a un servizio relativo alle risorse rappresenta quindi un potenziale punto di attacco. In caso di compromissione di un server che ospita un servizio front-end e se il server è configurato per delegare i servizi relativi alle risorse, anche questi servizi potrebbero risultare compromessi.

In Windows Server 2012 R2 e Windows Server 2012 la possibilità di configurare la delega vincolata per il servizio è stata trasferita dall'amministratore del dominio all'amministratore del servizio. In questo modo, l'amministratore del servizio back-end può consentire o negare i servizi front-end.

Per informazioni dettagliate sulla delega vincolata nella forma introdotta in Windows Server 2003, vedere la pagina relativa alla transizione al protocollo Kerberos e la delega vincolata.

L'implementazione del protocollo Kerberos in Windows Server 2012 R2 e Windows Server 2012 include estensioni specifiche per la delega vincolata. L'estensione S4U2Proxy (Service for User to Proxy) consente a un servizio di usare il ticket del servizio Kerberos per fare in modo che un utente ottenga un ticket di servizio dal Centro distribuzione chiavi (KDC) a un servizio back-end. Queste estensioni consentono di configurare la delega vincolata nell'account del servizio back-end, che può essere in un altro dominio. Per ulteriori informazioni su queste estensioni, vedere l'articolo [MS-SFU] Estensioni del protocollo Kerberos: specifica del protocollo per il servizio per utenti e la delega vincolata in MSDN Library.

Applicazioni pratiche

La delega vincolata offre agli amministratori di servizi la possibilità di specificare e applicare limiti di trust per le applicazioni, limitando l'ambito di azione dei servizi dell'applicazione per conto di un utente. Gli amministratori del servizio possono configurare gli account di servizio front-end che possono delegare ai servizi back-end.

Grazie al supporto della delega vincolata tra domini in Windows Server 2012 R2 e Windows Server 2012, servizi front-end come Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) e Microsoft SharePoint Server possono essere configurati in modo da usare la delega vincolata per l'autenticazione nei server in altri domini. Vengono in tal modo supportate soluzioni di servizio tra dominio tramite un'infrastruttura Kerberos esistente. La delega vincolata Kerberos può essere gestita dagli amministratori di dominio o dagli amministratori di servizio.

Delega vincolata basata su risorse tra domini

È possibile usare la delega vincolata Kerberos per offrire la delega vincolata quando il servizio front-end e i servizi relativi alle risorse non si trovano nello stesso dominio. Gli amministratori del servizio possono configurare la nuova delega specificando gli account di dominio dei servizi front-end che possono rappresentare gli utenti negli oggetti account dei servizi relativi alle risorse.

Valore aggiunto da queste modifiche

Tramite il supporto della delega vincolata tra domini, i servizi possono essere configurati per l'utilizzo della delega vincolata per l'autenticazione nei server in altri domini, anziché usare la delega vincolata. Ciò rende disponibile il supporto dell'autenticazione per le soluzioni di servizio tra domini usando un'infrastruttura Kerberos esistente, senza dover stabilire una relazione di trust con i servizi front-end per la delega di qualsiasi servizio.

In questo modo, la decisione di considerare attendibile l'origine di un'identità delegata viene spostata dall'amministratore di dominio al proprietario della risorsa.

Differenze di funzionamento

Una modifica nel protocollo sottostante consente la delega vincolata tra domini. L'implementazione del protocollo Kerberos in Windows Server 2012 R2 e Windows Server 2012 include le estensioni per il protocollo Service for User to Proxy (S4U2Proxy). Si tratta di un set di estensioni per il protocollo Kerberos che consente a un servizio di usare il ticket del servizio Kerberos per fare in modo che un utente ottenga un ticket di servizio dal Centro distribuzione chiavi (KDC) a un servizio back-end.

Per informazioni sull'implementazione per queste estensioni, vedere l'articolo [MS-SFU] Estensioni del protocollo Kerberos: specifica del protocollo per il servizio per utenti e la delega vincolata in MSDN.

Per altre informazioni sulla sequenza di messaggi di base per la delega Kerberos con un ticket di concessione ticket (TGT) inoltrato a confronto con le estensioni S4U (Service for User), vedere la sezione 1.3.3 della panoramica del protocollo nel documento [MS-SFU] sulle estensioni del protocollo Kerberos: specifica del protocollo per il servizio per utenti e la delega vincolata.

Implicazioni relative alla sicurezza della delega vincolata basata su risorse

La delega vincolata basata su risorse mette il controllo della delega nelle mani dell'amministratore proprietario della risorsa a cui si accede. Dipende dagli attributi del servizio delle risorse anziché dal servizio considerato attendibile da delegare. Di conseguenza, la delega vincolata basata su risorse non può usare il bit Trusted-to-Authenticate-for-Delegation che in precedenza controllava la transizione del protocollo. Il servizio Centro distribuzione chiavi consente sempre la transizione del protocollo quando si esegue la delega vincolata basata su risorse come se il bit fosse impostato.

Poiché il servizio Centro distribuzione chiavi non limita la transizione del protocollo, sono stati introdotti due nuovi SID noti per assegnare questo controllo all'amministratore delle risorse. Questi SID identificano se è stata eseguita la transizione del protocollo e possono essere usati con elenchi di controllo di accesso standard per concedere o limitare l'accesso in base alle esigenze.

SID Descrizione
AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY
S-1-18-1
SID che indica che l'identità del client viene dichiarata da un'autorità di autenticazione in base alla prova di possesso delle credenziali client.
SERVICE_ASSERTED_IDENTITY
S-1-18-2
SID che indica che l'identità del client viene dichiarata da un servizio.

Un servizio back-end può usare espressioni dell'elenco di controllo di accesso standard per determinare la modalità di autenticazione dell'utente.

Come configurare la delega vincolata basata su risorse

Per configurare un servizio relativo alle risorse per consentire l'accesso a un servizio front-end per conto degli utenti, usare i cmdlet di Windows PowerShell.

  • Per recuperare un elenco delle entità di sicurezza, usare i cmdlet Get-ADComputer, Get-ADServiceAccount e Get-ADUser con il parametro Properties PrincipalsAllowedToDelegateToAccount.

  • Per configurare il servizio relativo alle risorse, usare i cmdlet New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount e Set-ADUser con il parametro PrincipalsAllowedToDelegateToAccount.

Requisiti software

La delega vincolata basata sulle risorse può essere configurata solo in un controller di dominio che esegue Windows Server 2012 R2 e Windows Server 2012, ma può essere applicata in una foresta in modalità mista.

È necessario applicare l'hotfix seguente a tutti i controller di dominio che eseguono Windows Server 2012 nei domini degli account utente nel percorso di riferimento tra i domini front-end e back-end che eseguono sistemi operativi precedenti a Windows Server: Errore KDC_ERR_POLICY per la delega vincolata basata su risorse in ambienti con controller di dominio basati su Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).