Kerberos Constrained Delegation Overview
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In diesem Übersichtsthema für IT-Experten werden die neuen Funktionen für die eingeschränkte Kerberos-Delegation in Windows Server 2012 R2 und Windows Server 2012 beschrieben.
Featurebeschreibung
Die eingeschränkte Kerberos-Delegierung wurde in Windows Server 2003 eingeführt, um eine sicherere Form der Delegierung bereitzustellen, die von Diensten verwendet werden kann. Wenn dieses Feature konfiguriert ist, beschränkt die eingeschränkte Delegierung die Dienste, für die ein angegebener Server im Auftrag eines Benutzers agieren kann. Dies erfordert Domänenadministratorrechte zum Konfigurieren eines Domänenkontos für einen Dienst und beschränkt das Konto auf eine einzige Domäne. In modernen Unternehmen sind Front-End-Dienste nicht nur auf die Integration in Dienste in ihrer Domäne beschränkt.
In früheren Betriebssystemversionen, in denen der Dienst vom Domänenadministrator konfiguriert wurde, hatte der Dienstadministrator keine praktische Möglichkeit herauszufinden, welche Front-End-Dienste an die Ressourcendienste delegierten, die sich in ihrem Besitz befanden. Jeder Front-End-Dienst, der an einen Ressourcendienst delegieren konnte, bot einen potenziellen Angriffspunkt. Wenn ein Server kompromittiert wurde, der einen Front-End-Dienst hostete, und wenn dieser Server für die Delegierung an Ressourcendienste konfiguriert war, wurden möglicherweise auch die Ressourcendienste kompromittiert.
In Windows Server 2012 R2 und Windows Server 2012 wurde die Möglichkeit zum Konfigurieren der eingeschränkten Delegierung für den Dienst vom Domänenadministrator an den Dienstadministrator übertragen. Auf diese Weise kann der Back-End-Dienstadministrator Front-End-Dienste erlauben oder verweigern.
Ausführliche Informationen zu der in Windows Server 2003 eingeführten eingeschränkten Delegierung finden Sie unter Kerberos-Protokollübergang und eingeschränkte Delegierung.
Die Windows Server 2012 R2- und Windows Server 2012-Implementierung des Kerberos-Protokolls umfasst Erweiterungen speziell für die eingeschränkte Delegierung. S4U2Proxy (Service-for-User-to-Proxy) ermöglicht es einem Dienst, mithilfe seines Kerberos-Diensttickets für einen Benutzer ein Dienstticket aus dem Schlüsselverteilungscenter (Key Distribution Center, KDC) für einen Back-End-Dienst abzurufen. Durch diese Erweiterungen kann die eingeschränkte Delegierung für das Konto des Back-End-Diensts konfiguriert werden, das sich in einer anderen Domäne befinden kann. Weitere Informationen zu diesen Erweiterungen finden Sie im Thema zu [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User (S4U) und eingeschränkte Delegierung in der MSDN-Bibliothek.
Praktische Anwendung
Die eingeschränkte Delegierung ermöglicht Dienstadministratoren, Grenzen für Anwendungsvertrauensstellungen festzulegen und zu erzwingen, indem sie den Bereich einschränken, in dem Anwendungsdienste im Auftrag eines Benutzers handeln können. Dienstadministratoren können konfigurieren, welche Front-End-Dienstkonten die Authentifizierung an ihre Back-End-Dienste delegieren können.
Durch die Unterstützung einer domänenübergreifenden eingeschränkten Delegierung in Windows Server 2012 R2 und Windows Server 2012 können Front-End-Dienste wie Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) und Microsoft SharePoint Server so konfiguriert werden, dass sie für die Authentifizierung bei Servern in anderen Domänen die eingeschränkte Delegierung verwenden. So können domänenübergreifende Dienstlösungen mit einer vorhandenen Kerberos-Infrastruktur unterstützt werden. Die eingeschränkte Kerberos-Delegierung kann von Domänenadministratoren oder Dienstadministratoren verwaltet werden.
Domänenübergreifende, ressourcenbasierte eingeschränkte Delegierung
Mithilfe der eingeschränkten Kerberos-Delegierung kann eine eingeschränkte Delegierung bereitgestellt werden, wenn sich der Front-End-Dienst und die Ressourcendienste nicht in der gleichen Domäne befinden. Dienstadministratoren können die neue Delegierung konfigurieren, indem sie die Domänenkonten der Front-End-Dienste angeben, die die Identität von Benutzern für die Kontoobjekte der Ressourcendienste annehmen können.
Welchen Nutzen bietet diese Änderung?
Durch die Unterstützung der domänenübergreifenden eingeschränkten Delegierung können Dienste so konfiguriert werden, dass sie für die Authentifizierung bei Servern in anderen Domänen anstelle der uneingeschränkten Delegierung die eingeschränkte Delegierung verwenden. So kann anhand einer vorhandenen Kerberos-Infrastruktur Authentifizierungsunterstützung für domänenübergreifende Dienstlösungen bereitgestellt werden, ohne Front-End-Diensten für die Delegierung an einen Dienst vertrauen zu müssen.
Damit wird die Entscheidung, ob ein Server der Quelle einer delegierten Identität vertrauen sollte, vom delegierenden Domänenadministrator zum Ressourcenbesitzer verlagert.
Worin bestehen die Unterschiede?
Eine Änderung im zugrunde liegenden Protokoll ermöglicht die domänenübergreifende eingeschränkte Delegierung. Die Windows Server 2012 R2- und Windows Server 2012-Implementierung des Kerberos-Protokolls beinhaltet Erweiterungen des S4U2Proxy-Protokolls. Diese Erweiterungen des Kerberos-Protokolls ermöglichen es einem Dienst, mithilfe seines Kerberos-Diensttickets für einen Benutzer ein Dienstticket aus dem Schlüsselverteilungscenter für einen Back-End-Dienst abzurufen.
Weitere Informationen zur Implementierung dieser Erweiterungen finden Sie im Thema zu [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User (S4U) und eingeschränkte Delegierung in der MSDN-Bibliothek.
Weitere Informationen zur grundlegenden Nachrichtensequenz für die Kerberos-Delegierung mit einem weitergeleiteten Ticket-Granting Ticket (TGT) im Vergleich zu Service-for-User-Erweiterungen (S4U) finden Sie im Abschnitt 1.3.3 Übersicht über das Protokoll in [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User und eingeschränkte Delegierung.
Sicherheitsrelevante Auswirkungen der ressourcenbasierten eingeschränkten Delegierung
Die ressourcenbasierte eingeschränkte Delegierung überträgt die Kontrolle über die Delegierung an den Administrator, der als Besitzer der Ressource fungiert, auf die zugegriffen wird. Sie hängt von Attributen des Ressourcendiensts ab und nicht von dem Dienst, dem für die Delegierung vertraut wird. Infolgedessen kann die ressourcenbasierte eingeschränkte Delegierung nicht das Bit „Trusted-to-Authenticate-for-Delegation“ verwenden, das zuvor den Protokollübergang steuerte. Das Schlüsselverteilungscenter erlaubt bei der ressourcenbasierten eingeschränkten Delegierung immer einen Protokollübergang, so als wäre das Bit festgelegt.
Da das KDC den Protokollwechsel nicht einschränkt, wurden zwei neue bekannte SIDs eingeführt, um dem Ressourcenadministrator eine entsprechende Kontrollmöglichkeit zu geben. Diese SIDs zeigen an, ob ein Protokollübergang stattgefunden hat, und können in Kombination mit standardmäßigen Zugriffssteuerungslisten (Access Control Lists, ACLs) verwendet werden, um den Zugriff je nach Bedarf zu gewähren oder zu beschränken.
| SID | BESCHREIBUNG |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Diese SID gibt an, dass die Identität des Clients von einer Authentifizierungsstelle basierend auf einem Nachweis über den Besitz von Clientanmeldeinformationen bestätigt wurde. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Diese SID gibt an, dass die Identität des Clients von einem Dienst bestätigt wurde. |
Ein Back-End-Dienst kann anhand von ACL-Standardausdrücken feststellen, wie der Benutzer authentifiziert wurde.
Wie wird die ressourcenbasierte eingeschränkte Delegierung konfiguriert?
Verwenden Sie Windows PowerShell-Cmdlets, um einen Ressourcendienst zum Zulassen des Front-End-Dienstzugriffs im Auftrag von Benutzern zu konfigurieren.
Verwenden Sie zum Abrufen einer Liste von Prinzipalen die Cmdlets Get-ADComputer, Get-ADServiceAccount und Get-ADUser mit dem Parameter Properties PrincipalsAllowedToDelegateToAccount.
Zum Konfigurieren des Ressourcendienstes verwenden Sie die Cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount und Set-ADUser mit dem Parameter PrincipalsAllowedToDelegateToAccount.
Softwareanforderungen
Die ressourcenbasierte eingeschränkte Delegierung kann nur auf einem Domänencontroller mit Windows Server 2012 R2 und Windows Server 2012 konfiguriert werden, kann aber in einer Gesamtstruktur mit gemischtem Modus angewendet werden.
Der folgende Hotfix muss auf allen Windows Server 2012-Domänencontrollern in Benutzerkontendomänen im Weiterleitungspfad zwischen den Front-End- und Back-End-Domänen angewendet werden, in denen ältere Betriebssystemversionen als Windows Server ausgeführt werden: KDC_ERR_POLICY-Fehler bei der ressourcenbasierten eingeschränkten Delegierung in Umgebungen mit Windows Server 2008 R2-basierten Domänencontrollern (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).