Оценка безопасности: небезопасное делегирование Kerberos

Что такое делегирование Kerberos?

Делегирование Kerberos — это вариант делегирования, позволяющий приложениям запрашивать учетные данные доступа пользователей для доступа к ресурсам от имени исходного пользователя.

Какой риск для организации несет небезопасное делегирование Kerberos?

Небезопасное делегирование Kerberos позволяет какой-то сущности олицетворять вас в любой другой выбранной службе. Например, представьте, что у вас есть веб-сайт IIS, а учетная запись пула приложений настроена с неограниченным делегированием. На веб-сайте IIS также включена проверка подлинности Windows, что позволяет применять встроенную проверку подлинности Kerberos. Сайт использует внутренний сервер SQL Server для бизнес-данных. Используя учетную запись администратора домена, вы переходите на веб-сайт IIS и проходите проверку подлинности на нем. веб-сайт, использующий неограниченное делегирование, может получить билет службы от контроллера домена к службе SQL и сделать это в своем имени.

Основная проблема с делегированием Kerberos заключается в том, что приходится всегда доверять такому приложению и его действиям. Вредоносные субъекты могут вместо этого заставить приложение выполнить неправильное действие. Если вы вошли в систему как Администратор домена, сайт может создать билет для любых других служб, которые ему пожелаете, действуя в качестве администратора домена. Например, сайт может выбрать контроллер домена и внести изменения в группу администраторов предприятия . Аналогичным образом сайт может получить хэш учетной записи KRBTGT или скачать интересный файл из отдела кадров. Риск является очевидным, и возможности при небезопасном делегировании практически безграничны.

Ниже приведено описание рисков, исходящих от различных типов делегирования:

  • Неограниченное делегирование: Любая служба может быть использована неправомерно, если одна из ее записей делегирования является конфиденциальной.
  • Ограниченное делегирование: Ограниченные сущности могут быть использованы неправомерно, если одна из их записей делегирования является конфиденциальной.
  • Ограниченное делегирование на основе ресурсов: Ограниченные сущности на основе ресурсов могут быть использованы неправомерно, если сама сущность является конфиденциальной.

Как использовать эту оценку безопасности?

  1. Используйте таблицу отчета, чтобы определить, для каких из сущностей, не относящихся к контроллеру домена, настроено небезопасное делегирование Kerberos.

    Небезопасная Оценка безопасности делегирования Kerberos.

  2. Примите необходимые меры для пользователей с рисками, например удаление неограниченного атрибута или переход на более безопасное ограниченное делегирование.

Примечание

Эта оценка обновляется каждые 24 часа.

Серверы

Используйте исправление, соответствующее типу делегирования.

Неограниченное делегирование

Отключите делегирование или используйте один из следующих типов ограниченного делегирования Kerberos (KCD):

  • Ограниченное делегирование: Позволяет ограничивать службы, которые может олицетворять эта учетная запись.

    1. Выберите Доверять этому компьютеру при делегировании указанных служб.

      Исправление неограниченного делегирования Kerberos.

    2. Укажите службы, в которые эта учетная запись может предоставлять делегированные учетные данные.

  • Ограниченное делегирование на основе ресурсов: Позволяет ограничивать сущности, которые могут олицетворять эту учетную запись.
    KCD на основе ресурсов настраивается с помощью PowerShell. Используйте командлеты Set-ADComputer или Set-ADUser в зависимости от того, является ли учетная запись олицетворения учетной записью компьютера или учетной записью пользователя или службы.

Ограниченное делегирование

Проверьте конфиденциальных пользователей, указанных в рекомендациях, и удалите их из служб, в которые затронутая учетная запись может предоставлять делегированные учетные данные.

Ограниченное исправление делегирования Kerberos.

Ограниченное делегирование на основе ресурсов

Проверьте конфиденциальных пользователей, указанных в рекомендациях, и удалите их из ресурса. Дополнительные сведения о настройке ограниченного делегирования на основе ресурсов см. в разделе Настройка ограниченного делегирования Kerberos (KCD) в доменных службах Azure Active Directory.

Дальнейшие шаги