Säkerhetsutvärdering: Oskyddad Kerberos-delegering
Vad är Kerberos-delegering?
Kerberos-delegering är en delegeringsinställning som gör att program kan begära autentiseringsuppgifter för slutanvändarens åtkomst för att få åtkomst till resurser för den ursprungliga användarens räkning.
Vilken risk utgör oskyddad Kerberos-delegering för en organisation?
Oskyddad Kerberos-delegering ger en entitet möjlighet att personifiera dig till andra valda tjänster. Anta till exempel att du har en IIS-webbplats och att programpoolskontot har konfigurerats med obegränsad delegering. IIS-webbplatsen har också Windows-autentisering aktiverat, vilket tillåter intern Kerberos-autentisering, och webbplatsen använder en serverdels-SQL Server för affärsdata. Med ditt Domän Admin-konto bläddrar du till IIS-webbplatsen och autentiserar dig till den. Webbplatsen kan med hjälp av obegränsad delegering hämta en tjänstbiljett från en domänkontrollant till SQL-tjänsten och göra det i ditt namn.
Det största problemet med Kerberos-delegering är att du måste lita på att programmet alltid gör det rätta. Skadliga aktörer kan i stället tvinga programmet att göra fel. Om du är inloggad som domänadministratör kan webbplatsen skapa ett ärende till vilka andra tjänster som helst, som fungerar som du, domänadministratören. Webbplatsen kan till exempel välja en domänkontrollant och göra ändringar i företagsadministratörsgruppen . På samma sätt kan webbplatsen hämta hashen för KRBTGT-kontot eller ladda ned en intressant fil från personalavdelningen. Risken är tydlig och möjligheterna med oskyddad delegering är nästan oändliga.
Följande är en beskrivning av risken med olika delegeringstyper:
- Obegränsad delegering: Alla tjänster kan missbrukas om någon av deras delegeringsposter är känslig.
- Begränsad delegering: Begränsade entiteter kan missbrukas om någon av deras delegeringsposter är känslig.
- Resursbaserad begränsad delegering (RBCD): Resursbaserade begränsade entiteter kan missbrukas om själva entiteten är känslig.
Hur gör jag för att använda den här säkerhetsbedömningen?
Granska den rekommenderade åtgärden på https://security.microsoft.com/securescore?viewid=actions för att identifiera vilka av dina icke-domänkontrollantentiteter som har konfigurerats för oskyddad Kerberos-delegering.
Vidta lämpliga åtgärder för de riskfyllda användarna, till exempel att ta bort deras obehindrade attribut eller ändra det till en säkrare begränsad delegering.
Obs!
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.
Åtgärda
Använd den reparation som är lämplig för delegeringstypen.
Obegränsad delegering
Inaktivera delegering eller använd någon av följande Typer av Kerberos-begränsad delegering (KCD):
Begränsad delegering: Begränsar vilka tjänster det här kontot kan personifiera.
Välj Lita endast på den här datorn för delegering till angivna tjänster.
Ange de tjänster som det här kontot kan presentera delegerade autentiseringsuppgifter för.
Resursbaserad begränsad delegering: Begränsar vilka entiteter som kan personifiera det här kontot.
Resursbaserad KCD har konfigurerats med PowerShell. Du använder cmdletarna Set-ADComputer eller Set-ADUser , beroende på om personifieringskontot är ett datorkonto eller ett användarkonto/tjänstkonto.
Begränsad delegering
Granska de känsliga användare som anges i rekommendationerna och ta bort dem från de tjänster som det berörda kontot kan presentera delegerade autentiseringsuppgifter för.
Resursbaserad begränsad delegering (RBCD)
Granska de känsliga användare som anges i rekommendationerna och ta bort dem från resursen. Mer information om hur du konfigurerar RBCD finns i Konfigurera Kerberos-begränsad delegering (KCD) i Microsoft Entra Domain Services.