共用方式為

安全性評估:不安全的 Kerberos 委派

  • 發行項

什麼是 Kerberos 委派?

Kerberos 委派是委派設定,可讓應用程式要求使用者存取認證,以代表原始使用者存取資源。

不安全的 Kerberos 委派對組織造成什麼風險?

不安全的 Kerberos 委派可讓實體將您模擬到任何其他選擇的服務。 例如,假設您有 IIS 網站,而且應用程式集區帳戶設定了不受限制的委派。 IIS 網站也已啟用 Windows 驗證,允許原生 Kerberos 驗證,且網站會使用後端 SQL Server 來處理商務數據。 使用您的網域 管理員 帳戶,您可以流覽至 IIS 網站並對其進行驗證。 使用不受限制委派的網站可以取得從域控制器到 SQL 服務的服務票證,並以您的名稱進行。

Kerberos 委派的主要問題是您必須信任應用程式,才能一律執行正確的動作。 惡意執行者可以改為強制應用程式執行錯誤的動作。 如果您是以 網域系統管理員身分登入,網站可以建立其想要的任何其他服務票證,就像您一樣,網 域系統管理員。例如,網站可以選擇域控制器,並變更 企業系統管理員 群組。 同樣地,網站可以取得 KRBTGT 帳戶的哈希,或從人力資源部門下載有趣的檔案。 風險是清楚的,而且不安全委派的可能性幾乎無止盡。

以下是不同委派類型所造成的風險描述:

  • 不受限制的委派:如果任何服務的其中一個委派專案為敏感性,則會濫用任何服務。
  • 限制委派:如果其中一個委派專案為敏感性,則可能會濫用限制的實體。
  • 資源型限制委派 (RBCD) :如果實體本身為敏感性,則可能會濫用以資源為基礎的限制實體。

如何? 使用此安全性評估?

  1. 檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions ,以探索哪些非域控制器實體已針對 不安全的 Kerberos 委派進行設定。

    不安全的 Kerberos 委派安全性評估。

  2. 對有風險的使用者採取適當的動作,例如移除其不受限制的屬性,或將其變更為更安全的限制委派。

注意事項

當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。

補救

使用適合您委派類型的補救。

不受限制的委派

停用委派或使用下列其中一個 Kerberos 限制委派 (KCD) 類型:

  • 限制委派: 限制此帳戶可以模擬哪些服務。

    1. 選取 [信任這台電腦,但只委派指定的服務]

      不受限制的 Kerberos 委派補救。

    2. 指定 此帳戶可以呈現委派認證的服務

  • 資源型限制委派: 限制哪些實體可以模擬此帳戶。
    以資源為基礎的 KCD 是使用 PowerShell 來設定。 您可以使用 Set-ADComputerSet-ADUser Cmdlet,視模擬帳戶是電腦帳戶或使用者帳戶/服務帳戶而定。

限制委派

檢閱建議中列出的敏感性使用者,並將其從受影響的帳戶可以呈現委派認證的服務中移除。

限制 Kerberos 委派補救。

資源型限制委派 (RBCD)

檢閱建議中列出的敏感性使用者,並將其從資源中移除。 如需設定 RBCD 的詳細資訊,請參閱在 Microsoft Entra Domain Services 中設定 Kerberos 限制委派 (KCD)

後續步驟