Delen via

Beveiligingsevaluatie: Onbeveiligde Kerberos-delegatie

  • Artikel

Wat is Kerberos-delegatie?

Kerberos-delegatie is een delegeringsinstelling waarmee toepassingen toegangsreferenties voor eindgebruikers kunnen aanvragen voor toegang tot resources namens de oorspronkelijke gebruiker.

Welk risico vormt onbeveiligde Kerberos-delegatie voor een organisatie?

Onbeveiligde Kerberos-delegering biedt een entiteit de mogelijkheid om u te imiteren voor een andere gekozen service. Stel dat u een IIS-website hebt en het account van de toepassingsgroep is geconfigureerd met onbeperkte delegering. Op de IIS-websitesite is ook Windows-verificatie ingeschakeld, waardoor systeemeigen Kerberos-verificatie is toegestaan, en de site gebruikt een back-end-SQL Server voor zakelijke gegevens. Met uw Domein Beheer-account bladert u naar de IIS-website en verifieert u deze. De website kan met behulp van onbeperkte delegering een serviceticket ophalen van een domeincontroller naar de SQL-service en dit doen in uw naam.

Het belangrijkste probleem met Kerberos-delegatie is dat u de toepassing moet vertrouwen om altijd het juiste te doen. Kwaadwillende actoren kunnen in plaats hiervan de toepassing dwingen om het verkeerde te doen. Als u bent aangemeld als domeinbeheerder, kan de site een ticket maken voor alle andere services die deze wenst, optreedt als u, de domeinbeheerder. De site kan bijvoorbeeld een domeincontroller kiezen en wijzigingen aanbrengen in de ondernemingsbeheerdersgroep . Op dezelfde manier kan de site de hash van het KRBTGT-account verkrijgen of een interessant bestand downloaden van uw afdeling Human Resources. Het risico is duidelijk en de mogelijkheden met onbeveiligde delegering zijn bijna eindeloos.

Hier volgt een beschrijving van het risico dat de verschillende delegatietypen met zich meebrengen:

  • Niet-beperkte delegering: elke service kan worden misbruikt als een van de delegeringsvermeldingen gevoelig is.
  • Beperkte delegering: beperkte entiteiten kunnen worden misbruikt als een van hun delegeringsvermeldingen gevoelig is.
  • Beperkte delegering op basis van resources (RBCD): beperkte entiteiten op basis van resources kunnen worden misbruikt als de entiteit zelf gevoelig is.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw niet-domeincontroller-entiteiten zijn geconfigureerd voor onbeveiligde Kerberos-delegering.

    Onbeveiligde Kerberos-delegeringsbeveiligingsevaluatie.

  2. Neem de juiste actie voor gebruikers die risico lopen, zoals het verwijderen van hun kenmerk zonder beperkingen of het wijzigen in een veiligere beperkte delegering.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Herstellen

Gebruik het herstel dat geschikt is voor uw delegatietype.

Onbeperkte delegering

Schakel delegering uit of gebruik een van de volgende KCD-typen (Beperkte Kerberos-delegering):

  • Beperkte delegering: Hiermee wordt beperkt welke services dit account kan imiteren.

    1. Selecteer Deze computer vertrouwen voor alleen delegering naar opgegeven services.

      Herstel van niet-getrainde Kerberos-delegatie.

    2. Geef de Services op waaraan dit account gedelegeerde referenties kan presenteren.

  • Beperkte delegering op basis van resources: Hiermee wordt beperkt welke entiteiten dit account kunnen imiteren.
    KCD op basis van resources wordt geconfigureerd met behulp van PowerShell. U gebruikt de cmdlets Set-ADComputer of Set-ADUser , afhankelijk van of het imitatieaccount een computeraccount of een gebruikersaccount/serviceaccount is.

Beperkte delegering

Controleer de gevoelige gebruikers die worden vermeld in de aanbevelingen en verwijder deze uit de services waaraan het betrokken account gedelegeerde referenties kan presenteren.

Herstel van beperkte Kerberos-delegatie.

Beperkte delegering op basis van resources (RBCD)

Controleer de gevoelige gebruikers die in de aanbevelingen worden vermeld en verwijder ze uit de resource. Zie Beperkte Kerberos-delegering (KCD) configureren in Microsoft Entra Domeinservices voor meer informatie over het configureren van RBCD.

Volgende stappen