セキュリティ評価: セキュリティ保護されていない Kerberos 委任
Kerberos 委任とは
Kerberos 委任は、アプリケーションが、元のユーザーに代わってリソースにアクセスするためのエンド ユーザー アクセス資格情報を要求できるようにする委任設定です。
セキュリティで保護されていない Kerberos 委任がorganizationに与えるリスクは何ですか?
セキュリティで保護されていない Kerberos 委任を使用すると、エンティティは選択した他のサービスに偽装できます。 たとえば、IIS Web サイトがあり、アプリケーション プール アカウントが制約のない委任で構成されている場合を想像してください。 IIS Web サイトでは Windows 認証も有効になっており、ネイティブ Kerberos 認証が許可されており、サイトではビジネス データにバックエンド SQL Serverが使用されます。 ドメイン 管理 アカウントでは、IIS Web サイトを参照して認証します。 制約のない委任を使用する Web サイトでは、ドメイン コントローラーから SQL サービスへのサービス チケットを取得し、自分の名前で行うことができます。
Kerberos 委任に関するメインの問題は、常に正しいことを行うためにアプリケーションを信頼する必要があるということです。 悪意のあるアクターは、代わりにアプリケーションに間違った操作を強制することができます。 ドメイン管理者としてログオンしている場合、サイトは、ドメイン管理者として、必要な他のサービスへのチケットを作成できます。たとえば、サイトではドメイン コントローラーを選択し、エンタープライズ管理者グループに変更を加えます。 同様に、サイトは KRBTGT アカウントのハッシュを取得したり、人事部から興味深いファイルをダウンロードしたりできます。 リスクは明らかで、安全でない委任の可能性はほぼ無限です。
さまざまな委任の種類によって発生するリスクの説明を次に示します。
- 制約のない委任: 委任エントリの 1 つが機密性の高い場合、任意のサービスが悪用される可能性があります。
- 制約付き委任: 委任エントリの 1 つが機密性の高い場合、制約付きエンティティが悪用される可能性があります。
- リソース ベースの制約付き委任 (RBCD): エンティティ自体が機密性の高い場合、リソース ベースの制約付きエンティティが悪用される可能性があります。
このセキュリティ評価操作方法使用しますか?
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、セキュリティで保護されていない Kerberos 委任用に構成されているドメイン コントローラー以外のエンティティを検出します。
制約のない属性を削除したり、より安全な制約付き委任に変更したりするなど、リスクの高いユーザーに対して適切なアクションを実行します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。
修復
委任の種類に適した修復を使用します。
制約のない委任
委任を無効にするか、次のいずれかの Kerberos 制約付き委任 (KCD) の種類を使用します。
制約付き委任: このアカウントが偽装できるサービスを制限します。
[このコンピューターを信頼する] を選択して、指定されたサービスへの委任のみを行います。
このアカウントが委任された資格情報を提示できるサービスを指定します。
リソース ベースの制約付き委任: このアカウントを偽装できるエンティティを制限します。
リソース ベースの KCD は、PowerShell を使用して構成されます。 偽装アカウントがコンピューター アカウントかユーザー アカウント/サービス アカウントかに応じて、 Set-ADComputer コマンドレットまたは Set-ADUser コマンドレットを使用します。
制約付き委任
推奨事項に記載されている機密性の高いユーザーを確認し、影響を受けるアカウントが委任された資格情報を提示できるサービスから削除します。
リソース ベースの制約付き委任 (RBCD)
推奨事項に記載されている機密性の高いユーザーを確認し、リソースから削除します。 RBCD の構成の詳細については、「Microsoft Entra Domain Servicesでの Kerberos 制約付き委任 (KCD) の構成」を参照してください。