Kerberos Constrained Delegation Overview
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico de visão geral para o profissional de IT descreve novos recursos para delegação restrita de Kerberos no Windows Server 2012 R2 e Windows Server 2012.
Descrição do recurso
A delegação restrita de Kerberos foi introduzida no Windows Server 2003 para proporcionar uma forma de delegação mais segura para ser usada em serviços. Quando configurada, a delegação restrita restringe os serviços nos quais um determinado servidor pode agir em nome de um usuário. Isso requer privilégios de administrador de domínio para configurar uma conta de domínio para um serviço e restringe a conta a um único domínio. Na empresa atual, os serviços de front-end não são projetados para serem limitados à integração apenas com serviços em seu domínio.
Em sistemas operacionais mais antigos, nos quais o administrador de domínio configurava o serviço, o administrador do serviço não tinha uma maneira útil de saber quais serviços front-end eram delegados aos serviços de recursos eles possuíam. E qualquer serviço front-end que pudesse ser delegado a um serviço de recurso representava um possível ponto de ataque. Se um servidor que hospedava um serviço front-end fosse comprometido, e tivesse sido configurado para delegar aos serviços de recursos, os serviços de recurso também poderiam ser comprometidos.
No Windows Server 2012 R2 e Windows Server 2012 , a capacidade de configurar a delegação restrita para o serviço foi transferida do administrador de domínio para o administrador de serviços. Dessa forma, o administrador do serviço de back-end pode permitir ou negar os serviços front-end.
Para obter informações detalhadas sobre delegação restrita, conforme apresentada no Windows Server 2003, consulte Transição de protocolo e delegação restrita de Kerberos.
A Windows Server 2012 R2 e Windows Server 2012 implementação do protocolo Kerberos inclui extensões especificamente para delegação restrita. O Serviço de Usuário para Proxy (S4U2Proxy) permite que um serviço use seu tíquete de serviço Kerberos para que um usuário obtenha um tíquete de serviço do KDC (centro de distribuição de chaves) para um serviço de back-end. Essas extensões permitem que a delegação restrita seja configurada na conta do serviço de back-end, que pode estar em outro domínio. Para obter mais informações sobre essas extensões, consulte [MS-SFU]: Extensões do protocolo Kerberos: serviço para usuário e especificação do protocolo de delegação restrita na Biblioteca MSDN.
Aplicações práticas
A delegação restrita dá aos administradores de serviços a capacidade de especificar e impor limites de confiança do aplicativo limitando o escopo em que os serviços de aplicativos podem agir em nome de um usuário. Os administradores de serviços podem configurar quais contas de serviço front-end podem ser delegadas aos seus respectivos serviços back-end.
Ao dar suporte à delegação restrita entre domínios no Windows Server 2012 R2 e no Windows Server 2012, serviços de front-end, como IsA (Microsoft Internet Security and Acceleration), Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Acesso via Web (OWA) e Microsoft SharePoint Server pode ser configurado para usar a delegação restrita para autenticar servidores em outros domínios. Isso dá suporte a soluções de serviços entre domínios usando uma infraestrutura Kerberos existente. A delegação restrita de Kerberos pode ser gerenciada por administradores de domínio ou administradores de serviços.
Delegação restrita entre domínios com base em recursos
A delegação restrita de Kerberos pode ser usada para fornecer delegação restrita quando o serviço front-end e os serviços de recurso não estão no mesmo domínio. Os administradores de serviços podem configurar a nova delegação especificando as contas de domínio dos serviços front-end que podem representar usuários nos objetos de conta dos serviços de recurso.
Qual é o valor agregado desta alteração?
Com o suporte à delegação restrita entre domínios, os serviços podem ser configurados para usar a delegação restrita para autenticação em servidores em outros domínios usando delegação não restrita. Isso dá suporte à autenticação para soluções de serviços entre domínios usando uma infraestrutura Kerberos existente sem a necessidade de confiar em serviços front-end para delegar a qualquer outro serviço.
Isso também desloca a decisão de se um servidor deve confiar na origem de uma identidade delegada do administrador de domínio de delegação para o proprietário do recurso.
O que passou a funcionar de maneira diferente?
Uma alteração no protocolo subjacente permite a delegação restrita entre domínios. A Windows Server 2012 R2 e Windows Server 2012 implementação do protocolo Kerberos inclui extensões ao protocolo S4U2Proxy (Serviço para Usuário a Proxy). Trata-se de um conjunto de extensões para o protocolo Kerberos que permite que um serviço use seu respectivo tíquete de serviço Kerberos para que um usuário obtenha um tíquete de serviço do KDC (Centro de Distribuição de Chaves) para um serviço back-end.
Para obter informações de implementação sobre essas extensões, consulte [MS-SFU]: Extensões do protocolo Kerberos: serviço para usuário e especificação do protocolo de delegação restrita no MSDN.
Para obter mais informações sobre a sequência de mensagem básica para a delegação Kerberos com um TGT (tíquete de concessão de tíquete) encaminhado em comparação com o serviço para as extensões de usuário (S4U), consulte a seção 1.3.3 Visão geral do protocolo no [MS-SFU]: Extensões do protocolo Kerberos: Serviço para usuário e especificação do protocolo de delegação restrita.
Implicações de segurança da delegação restrita baseada em recursos
A delegação restrita baseada em recursos coloca o controle da delegação nas mãos do administrador que possui o recurso que está sendo acessado. Depende dos atributos do serviço de recurso em vez do serviço que é confiável para delegar. Como resultado, a delegação restrita baseada em recursos não pode usar o bit Trusted-to-Authenticate-for-Delegation que controlou anteriormente a transição de protocolo. O KDC sempre permite a transição de protocolo ao executar a delegação restrita baseada em recursos como se o bit estivesse definido.
Como o KDC não limita a transição de protocolo, dois novos SIDs conhecidos foram introduzidos para dar esse controle ao administrador de recursos. Esses SIDs identificam se a transição de protocolo ocorreu e podem ser usadas com listas de controle de acesso padrão para conceder ou limitar o acesso conforme necessário.
| SID | Descrição |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Um SID que significa que a identidade do cliente é assedida por uma autoridade de autenticação com base na prova de posse de credenciais do cliente. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Um SID que significa que a identidade do cliente é assedida por um serviço. |
Um serviço de back-back pode usar expressões ACL padrão para determinar como o usuário foi autenticado.
Como configurar a delegação restrita baseada em recursos?
Para configurar um serviço de recurso para permitir acesso a um serviço front-end em nome de usuários, use cmdlets do Windows PowerShell.
Para recuperar uma lista de entidades de segurança, use os cmdlets Get-ADComputer, Get-ADServiceAccount e Get-ADUser com o parâmetro Properties PrincipalsAllowedToDelegateToAccount .
Para configurar o serviço de recurso, use os cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount e Set-ADUser com o parâmetro PrincipalsAllowedToDelegateToAccount .
Requisitos de software
A delegação restrita baseada em recursos só pode ser configurada em um controlador de domínio executando Windows Server 2012 R2 e Windows Server 2012, mas pode ser aplicada em uma floresta de modo misto.
Você deve aplicar o seguinte hotfix a todos os controladores de domínio que executam o Windows Server 2012 em domínios de conta de usuário no caminho de indicação entre os domínios de front-end e back-end que executam sistemas operacionais anteriores ao servidor do Windows: falha de delegação restrita baseada em recursos KDC_ERR_POLICY em ambientes que têm controladores de domínio baseados em Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro ).