Overzicht van beperkte Kerberos-delegering
In dit overzichtsonderwerp voor IT-professionals worden nieuwe mogelijkheden beschreven voor beperkte Kerberos-delegering in Windows Server 2012 R2 en Windows Server 2012.
beschrijving van functie
Beperkte Kerberos-delegering is geïntroduceerd in Windows Server 2003 om een veiligere vorm van delegatie te bieden die door services kan worden gebruikt. Wanneer deze is geconfigureerd, beperkt beperkte delegering de services waartoe de opgegeven server namens een gebruiker kan handelen. Hiervoor zijn domeinbeheerdersbevoegdheden vereist voor het configureren van een domeinaccount voor een service en wordt het account beperkt tot één domein. In de huidige onderneming zijn front-endservices niet ontworpen om te worden beperkt tot integratie met alleen services in hun domein.
In eerdere besturingssystemen waar de domeinbeheerder de service heeft geconfigureerd, had de servicebeheerder geen handige manier om te weten welke front-endservices zijn gedelegeerd aan de resourceservices waarvan ze eigenaar zijn. En elke front-endservice die aan een resourceservice kan delegeren, vertegenwoordigde een potentieel aanvalspunt. Als een server waarop een front-endservice wordt gehost, is aangetast en deze is geconfigureerd om te delegeren aan resourceservices, kunnen de resourceservices ook worden aangetast.
In Windows Server 2012 R2 en Windows Server 2012 is de mogelijkheid om beperkte delegatie voor de service te configureren, overgedragen van de domeinbeheerder aan de servicebeheerder. Op deze manier kan de back-endservicebeheerder front-endservices toestaan of weigeren.
Zie Kerberos Protocol Transition and Constrained Delegationvoor gedetailleerde informatie over beperkte delegatie zoals geïntroduceerd in Windows Server 2003.
De implementatie van Windows Server 2012 R2 en Windows Server 2012 van het Kerberos-protocol bevat extensies die specifiek zijn bedoeld voor beperkte delegatie. Service for User to Proxy (S4U2Proxy) staat een service toe om het Kerberos-serviceticket te gebruiken voor een gebruiker om een serviceticket te verkrijgen van het Key Distribution Center (KDC) naar een back-endservice. Met deze extensies kan beperkte delegering worden geconfigureerd voor het account van de back-endservice, dat zich in een ander domein kan bevinden. Zie [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification in de MSDN-bibliotheek voor meer informatie over deze extensies.
Praktische toepassingen
Beperkte delegatie biedt servicebeheerders de mogelijkheid om grenzen van toepassingsvertrouwen op te geven en af te dwingen door het bereik te beperken waar toepassingsservices namens een gebruiker kunnen handelen. Servicebeheerders kunnen configureren welke front-endserviceaccounts aan hun back-endservices kunnen delegeren.
Door beperkte overdracht tussen domeinen in Windows Server 2012 R2 en Windows Server 2012 te ondersteunen, kunnen front-endservices zoals Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) en Microsoft SharePoint Server worden geconfigureerd voor het gebruik van beperkte delegatie voor verificatie bij servers in andere domeinen. Dit biedt ondersteuning voor serviceoplossingen voor meerdere domeinen met behulp van een bestaande Kerberos-infrastructuur. Beperkte Kerberos-delegering kan worden beheerd door domeinbeheerders of servicebeheerders.
Beperkte overdracht op basis van resources tussen domeinen
Beperkte Kerberos-delegering kan worden gebruikt om beperkte delegering te bieden wanneer de front-endservice en de resourceservices zich niet in hetzelfde domein bevinden. Servicebeheerders kunnen de nieuwe delegatie configureren door de domeinaccounts van de front-endservices op te geven die gebruikers kunnen imiteren op de accountobjecten van de resourceservices.
Welke waarde voegt deze wijziging toe?
Door beperkte delegering tussen domeinen te ondersteunen, kunnen services worden geconfigureerd voor het gebruik van beperkte delegatie voor verificatie bij servers in andere domeinen in plaats van gebruik te maken van niet-gebonden delegatie. Dit biedt ondersteuning voor verificatie voor multi-domeinserviceoplossingen met behulp van een bestaande Kerberos-infrastructuur, zonder front-endservices te hoeven vertrouwen om te delegeren naar een service.
Dit verschuift ook de beslissing of een server de bron van een gedelegeerde identiteit moet vertrouwen vanuit de beheerder van het delegerende domein naar de resource-eigenaar.
Wat werkt er anders?
Door een wijziging in het onderliggende protocol is beperkte overdracht tussen domeinen toegestaan. De implementatie van het Kerberos-protocol van Windows Server 2012 R2 en Windows Server 2012 bevat extensies voor het protocol Service for User to Proxy (S4U2Proxy). Dit is een set extensies voor het Kerberos-protocol waarmee een service het Kerberos-serviceticket voor een gebruiker kan gebruiken om een serviceticket te verkrijgen van het Key Distribution Center (KDC) naar een back-endservice.
Zie [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification in MSDN voor implementatie-informatie over deze extensies.
Zie sectie 1.3.3 Protocol Overview in de [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification voor meer informatie over de basisberichtenreeks voor Kerberos-delegering met een doorgestuurd ticket-verleningsticket (TGT) in vergelijking met Service for User (S4U) extensies.
beveiligingsgevolgen van beperkte delegering op basis van resources
Met op resources gebaseerde beperkte delegering wordt de controle over delegatie in handen van de beheerder gelegd die eigenaar is van de resource die toegankelijk wordt gemaakt. Het is afhankelijk van kenmerken van de resourceservice in plaats van de service die wordt vertrouwd om te delegeren. Als gevolg hiervan kan resource-gebaseerde beperkte delegatie de Trusted-to-Authenticate-for-Delegation bit, die eerder de protocolovergang controleerde, niet gebruiken. De KDC staat altijd protocolovergang toe bij het uitvoeren van resourcegebaseerde beperkte delegering alsof de bit was ingesteld.
Omdat de KDC de protocolovergang niet beperkt, zijn er twee nieuwe bekende SID's geïntroduceerd om dit besturingselement aan de resourcebeheerder te geven. Deze SID's bepalen of protocolovergang heeft plaatsgevonden en kunnen worden gebruikt met standaardtoegangsbeheerlijsten om zo nodig toegang te verlenen of te beperken.
| SID | Beschrijving |
|---|---|
| AUTHENTICATIE_AUTORITEIT_GECLAIMEERDE_IDENTITEIT S-1-18-1 |
Een SID die betekent dat de identiteit van de client wordt geverifieerd door een verificatie-instantie op basis van bewijs van het bezit van clientreferenties. |
| SERVICE_TOEGANGSIDENTITEIT S-1-18-2 |
Een SID die betekent dat de identiteit van de cliënt door een service wordt bevestigd. |
Een back-endservice kan standaard-ACL-expressies gebruiken om te bepalen hoe de gebruiker is geverifieerd.
Hoe configureert u beperkte delegatie op basis van resources?
Gebruik Windows PowerShell-cmdlets om een resourceservice te configureren voor toegang tot een front-endservice namens gebruikers.
Als u een lijst met principals wilt ophalen, gebruikt u de cmdlets Get-ADComputer, Get-ADServiceAccounten Get-ADUser met de parameter Properties PrincipalsAllowedToDelegateToAccount.
Om de resourceservice te configureren, gebruik de New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccounten Set-ADUser cmdlets met de parameter PrincipalsAllowedToDelegateToAccount.
Softwarevereisten
Beperkte overdracht op basis van resources kan alleen worden geconfigureerd op een domeincontroller met Windows Server 2012 R2 en Windows Server 2012, maar kan worden toegepast in een forest met gemengde modus.
U moet de volgende hotfix toepassen op alle domeincontrollers met Windows Server 2012 in gebruikersaccountdomeinen op het verwijzingspad tussen de front-end- en back-enddomeinen waarop besturingssystemen ouder zijn dan Windows Server: beperkte overdracht op basis van resources KDC_ERR_POLICY fout in omgevingen met Windows Server 2008 R2-domeincontrollers (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).