Översikt över Kerberos-begränsad delegering
Det här översiktsavsnittet för IT-proffs beskriver nya funktioner för Kerberos-begränsad delegering i Windows Server 2012 R2 och Windows Server 2012.
Funktionsbeskrivning
Kerberos-begränsad delegering introducerades i Windows Server 2003 för att tillhandahålla en säkrare form av delegering som kan användas av tjänster. När den är konfigurerad begränsar begränsad delegering de tjänster som den angivna servern kan agera för en användares räkning. Detta kräver domänadministratörsbehörighet för att konfigurera ett domänkonto för en tjänst och begränsar kontot till en enda domän. I dagens företag är klientdelstjänster inte utformade för att begränsas till integrering med endast tjänster i deras domän.
I tidigare operativsystem där domänadministratören konfigurerade tjänsten hade tjänstadministratören inget användbart sätt att veta vilka klientdelstjänster som delegerades till de resurstjänster som de ägde. Och alla klientdelstjänster som kunde delegeras till en resurstjänst representerade en potentiell attackpunkt. Om en server som var värd för en klientdelstjänst komprometterades och den konfigurerades för att delegera till resurstjänster, kan även resurstjänsterna komprometteras.
I Windows Server 2012 R2 och Windows Server 2012 har möjligheten att konfigurera begränsad delegering för tjänsten överförts från domänadministratören till tjänstadministratören. På så sätt kan administratören för back-end-tjänster tillåta eller neka front-end-tjänster.
Detaljerad information om begränsad delegering som introducerades i Windows Server 2003 finns i Kerberos-protokollövergång och begränsad delegering.
Windows Server 2012 R2- och Windows Server 2012-implementeringen av Kerberos-protokollet innehåller tillägg som är specifikt för begränsad delegering. Tjänsten Service for User to Proxy (S4U2Proxy) möjliggör att en tjänst kan använda sin Kerberos-biljett för en användare för att erhålla en tjänstbiljett från Key Distribution Center (KDC) till en bakgrundstjänst. Dessa tillägg gör att begränsad delegering kan konfigureras på serverdelstjänstens konto, som kan finnas i en annan domän. Mer information om dessa tillägg finns i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification i MSDN-biblioteket.
Praktiska tillämpningar
Begränsad delegering ger tjänstadministratörer möjlighet att ange och framtvinga gränser för programförtroende genom att begränsa omfånget där programtjänster kan agera för en användares räkning. Tjänstadministratörer kan konfigurera vilka klientdelstjänstkonton som kan delegeras till deras serverdelstjänster.
Genom att stödja begränsad delegering mellan domäner i Windows Server 2012 R2 och Windows Server 2012 kan klientdelstjänster som Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) och Microsoft SharePoint Server konfigureras för att använda begränsad delegering för att autentisera till servrar i andra domäner. Detta ger stöd för tjänstlösningar för domäner med hjälp av en befintlig Kerberos-infrastruktur. Kerberos-begränsad delegering kan hanteras av domänadministratörer eller tjänstadministratörer.
Resursbaserad begränsad delegering mellan domäner
Kerberos-begränsad delegering kan användas för att tillhandahålla begränsad delegering när klientdelstjänsten och resurstjänsterna inte finns i samma domän. Tjänstadministratörer kan konfigurera den nya delegeringen genom att ange domänkontona för klientdelstjänsterna som kan personifiera användare på resurstjänsternas kontoobjekt.
Vilket värde lägger den här ändringen till?
Genom att stödja begränsad delegering mellan domäner kan tjänster konfigureras för att använda begränsad delegering för att autentisera till servrar i andra domäner i stället för att använda obegränsad delegering. Detta ger autentiseringsstöd för olika domäntjänstlösningar genom att använda en befintlig Kerberos-infrastruktur utan att behöva lita på klientdelstjänster för att delegera till någon tjänst.
Detta förskjuter också beslutet om en server ska lita på källan till en delegerad identitet från domänadministratören som delegerar till resursägaren.
Vad fungerar annorlunda?
En ändring i det underliggande protokollet tillåter begränsad delegering mellan domäner. Windows Server 2012 R2- och Windows Server 2012-implementeringen av Kerberos-protokollet innehåller tillägg till S4U2Proxy-protokollet (Service for User to Proxy). Det här är en uppsättning tillägg till Kerberos-protokollet som gör att en tjänst kan använda sin Kerberos-tjänstbiljett för en användare för att hämta en tjänstbiljett från Key Distribution Center (KDC) till en serverdelstjänst.
Implementeringsinformation om dessa tillägg finns i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification i MSDN.
Mer information om den grundläggande meddelandesekvensen för Kerberos-delegering med en vidarebefordrad biljettbeviljande biljett (TGT) jämfört med tillägg för Tjänst för användare (S4U) finns i avsnittet 1.3.3 Protocol Overview i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification.
säkerhetskonsekvenser av resursbaserad begränsad delegering
Resursbaserad begränsad delegering ger kontroll över delegeringen i händerna på administratören som äger resursen som används. Det beror på attribut för resurstjänsten i stället för den tjänst som är betrodd att delegera. Därför kan resursbaserad begränsad delegering inte använda biten Trusted-to-Authenticate-for-Delegation som tidigare kontrollerade protokollövergången. KDC tillåter alltid protokollövergång när resursbaserad begränsad delegering genomförs som om biten hade angetts.
Eftersom KDC inte begränsar protokollövergången introducerades två nya välkända SID:er för att ge den här kontrollen till resursadministratören. Dessa SID:er identifierar om protokollövergången har skett och kan användas med standardlistor för åtkomstkontroll för att bevilja eller begränsa åtkomst efter behov.
| SID | Beskrivning |
|---|---|
| AUTENTISERINGSMYNDIGHET_FÖRSÄKRAD_IDENTITET S-1-18-1 |
Ett SID som innebär att klientens identitet bekräftas av en autentiseringsutfärdare baserat på bevis på innehav av klientautentiseringsuppgifter. |
| TJÄNST_ANGIVEN_IDENTITET S-1-18-2 |
Ett SID som innebär att klientens identitet bekräftas av en tjänst. |
En serverdelstjänst kan använda ACL-standarduttryck för att avgöra hur användaren autentiserades.
Hur konfigurerar du resursbaserad begränsad delegering?
Om du vill konfigurera en resurstjänst för att tillåta åtkomst till en klientdelstjänst åt användarna använder du Windows PowerShell-cmdletar.
För att hämta en lista över principals, använd cmdleten Get-ADComputer, Get-ADServiceAccountoch Get-ADUser med parametern Properties PrincipalsAllowedToDelegateToAccount.
Om du vill konfigurera resurstjänsten använder du New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccountoch Set-ADUser cmdlets med parametern PrincipalsAllowedToDelegateToAccount.
Programvarukrav
Resursbaserad begränsad delegering kan bara konfigureras på en domänkontrollant som kör Windows Server 2012 R2 och Windows Server 2012, men kan användas i en skog i blandat läge.
Du måste tillämpa följande snabbkorrigering på alla domänkontrollanter som kör Windows Server 2012 i användarkontodomäner på referenssökvägen mellan klient- och serverdelsdomäner som kör operativsystem tidigare än Windows Server: Resursbaserad begränsad delegering KDC_ERR_POLICY fel i miljöer med Windows Server 2008 R2-baserade domänkontrollanter (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).