Sicherheitsbewertung: Unsichere Kerberos-Delegierung

  • Artikel

Was ist Kerberos-Delegierung?

Die Kerberos-Delegierung ist eine Delegierungseinstellung, die es Anwendungen ermöglicht, Anmeldeinformationen für den Endbenutzerzugriff auf Ressourcen im Namen des ursprünglichen Benutzers anzufordern.

Welches Risiko stellt die unsichere Kerberos-Delegierung für eine Organisation dar?

Die unsichere Kerberos-Delegierung bietet einer Entität die Möglichkeit, Die Identität eines anderen ausgewählten Diensts zu imitieren. Angenommen, Sie haben eine IIS-Website, und das Anwendungspoolkonto ist mit nicht eingeschränkter Delegierung konfiguriert. Auf der IIS-Website ist auch die Windows-Authentifizierung aktiviert, sodass die systemeigene Kerberos-Authentifizierung zugelassen wird, und der Standort verwendet eine Back-End-SQL Server for Business-Daten. Mit Ihrem Do Standard-Administratorkonto navigieren Sie zur IIS-Website und authentifizieren sich damit. Die Website, die nicht eingeschränkte Delegierung verwendet, kann ein Serviceticket von einem Do Standard-Controller zum SQL-Dienst erhalten und dies in Ihrem Namen tun.

Das Standard Problem mit der Kerberos-Delegierung besteht darin, dass Sie der Anwendung vertrauen müssen, um immer das Richtige zu tun. Böswillige Akteure können stattdessen die Anwendung zwingen, das Falsche zu tun. Wenn Sie wie gewünscht angemeldet sind Standard Administrator, kann die Website ein Ticket für alle anderen gewünschten Dienste erstellen, die sie wie Sie tun Standard Administrator. Die Website kann z. B. einen Do Standard-Controller auswählen und Änderungen an der Unternehmensadministratorgruppe vornehmen. Ebenso kann die Website den Hash des KRBTGT-Kontos erwerben oder eine interessante Datei aus Ihrer Personalabteilung herunterladen. Das Risiko ist klar, und die Möglichkeiten mit unsicherer Delegierung sind fast endlos.

Es folgt eine Beschreibung des Risikos, das durch verschiedene Delegierungstypen verursacht wird:

  • Nicht eingeschränkte Delegierung: Jeder Dienst kann missbraucht werden, wenn eine ihrer Delegierungseinträge vertraulich ist.
  • Eingeschränkte Delegierung: Eingeschränkte Entitäten können missbraucht werden, wenn eine ihrer Delegierungseinträge vertraulich ist.
  • Ressourcenbasierte eingeschränkte Delegierung (RBCD): Ressourcenbasierte eingeschränkte Entitäten können missbraucht werden, wenn die Entität selbst vertraulich ist.

Wie verwende ich diese Sicherheitsbewertung?

  1. Überprüfen Sie die empfohlene Aktionhttps://security.microsoft.com/securescore?viewid=actions, um zu ermitteln, welche Ihrer Nicht-Do Standard-Controllerentitäten für unsichere Kerberos-Delegierung konfiguriert sind.

    Sicherheitsbewertung der unsicheren Kerberos-Delegation.

  2. Ergreifen Sie geeignete Maßnahmen für benutzer mit Risiko, z. B. das Entfernen ihres nicht eingeschränkten Attributs oder das Ändern in eine sicherere eingeschränkte Delegierung.

Hinweis

Bewertungen werden nahezu in Echtzeit aktualisiert, Ergebnisse und der Status alle 24 Stunden. Die Liste der betroffenen Entitäten wird innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert. Es kann jedoch etwas länger dauern, bis der Status zu Abgeschlossen wechselt.

Behebung

Verwenden Sie die korrektur, die für Ihren Delegierungstyp geeignet ist.

Uneingeschränkte Delegierung

Deaktivieren Sie entweder die Delegierung, oder verwenden Sie einen der folgenden eingeschränkten Kerberos-Delegierungstypen (KCD):

  • Eingeschränkte Delegierung: Beschränkt, welche Dienste dieses Konto identitätswechseln kann.

    1. Wählen Sie Computer nur bei Delegierungen angegebener Dienste vertrauen.

      Unbeschränkte Sanierung der Kerberos-Delegation.

    2. Unter Dienste, für die dieses Konto delegierte Anmeldeinformationen verwenden kann.

  • Ressourcenbasierte eingeschränkte Delegierung: Beschränkt die Identität dieses Kontos durch Entitäten.
    Die ressourcenbasierte KCD wird mithilfe von PowerShell konfiguriert. Sie verwenden das Cmdlet Set-ADComputer oder Set-ADUser, je nachdem, ob es sich beim Konto für den Identitätswechsel um ein Computerkonto oder ein Benutzerkonto/Dienstkonto handelt.

Eingeschränkte Delegierung

Überprüfen Sie die in den Empfehlungen aufgeführten vertraulichen Benutzer, und entfernen Sie sie aus den Diensten, an die das betroffene Konto delegierte Anmeldeinformationen präsentieren kann.

Sanierung der eingeschränkten Kerberos-Delegation.

Ressourcenbasierte eingeschränkte Delegierung (RBCD)

Überprüfen Sie die in den Empfehlungen aufgeführten vertraulichen Benutzer, und entfernen Sie sie aus der Ressource. Weitere Informationen finden Sie unter Konfigurieren der eingeschränkten Kerberos-Delegierung (KCD) in Microsoft Entra Domain Services.

Nächste Schritte