تقييم الأمان: تفويض Kerberos غير آمن

ما هو تفويض Kerberos؟

تفويض Kerberos هو إعداد تفويض يسمح للتطبيقات بطلب بيانات اعتماد وصول المستخدم النهائي للوصول إلى الموارد نيابة عن المستخدم الأصلي.

ما هي المخاطر التي يشكلها تفويض Kerberos غير آمن للمؤسسة؟

تفويض Kerberos غير آمن يمنح الكيان القدرة على انتحال هوية أي خدمة أخرى مختارة. على سبيل المثال، تخيل أن لديك موقع IIS على الويب، ويتم تكوين حساب تجمع التطبيقات بتفويض غير مقيد. يحتوي موقع موقع IIS على موقع ويب أيضا على مصادقة Windows ممكنة، مما يسمح بمصادقة Kerberos الأصلية، ويستخدم الموقع SQL Server الخلفية لبيانات الأعمال. باستخدام حساب مسؤول المجال الخاص بك، يمكنك الاستعراض وصولا إلى موقع IIS على الويب والمصادقة عليه. يمكن لموقع الويب، باستخدام التفويض غير المقيد، الحصول على تذكرة خدمة من وحدة تحكم المجال إلى خدمة SQL، والقيام بذلك باسمك.

المشكلة الرئيسية مع تفويض Kerberos هي أنك بحاجة إلى الوثوق في التطبيق للقيام بالشيء الصحيح دائما. يمكن للمستخدمين الضارين بدلا من ذلك إجبار التطبيق على القيام بالشيء الخطأ. إذا قمت بتسجيل الدخول كمسؤول مجال، يمكن للموقع إنشاء تذكرة إلى أي خدمات أخرى يرغب فيها، وتعمل كما أنت، مسؤول المجال. على سبيل المثال، يمكن للموقع اختيار وحدة تحكم بالمجال، وإجراء تغييرات على مجموعة مسؤولي المؤسسة . وبالمثل، يمكن للموقع الحصول على تجزئة حساب KRBTGT، أو تنزيل ملف مثير للاهتمام من قسم الموارد البشرية. إن الخطر واضح والاحتمالات التي تنطوي على تفويض غير آمن لا نهاية لها تقريبا.

فيما يلي وصف للمخاطر التي تشكلها أنواع التفويض المختلفة:

  • تفويض غير مقيد: يمكن إساءة استخدام أي خدمة إذا كان أحد إدخالات التفويض الخاصة به حساسا.
  • التفويض المقيد: يمكن إساءة استخدام الكيانات المقيدة إذا كان أحد إدخالات التفويض الخاصة بها حساسا.
  • التفويض المقيد المستند إلى الموارد (RBCD): يمكن إساءة استخدام الكيانات المقيدة المستندة إلى الموارد إذا كان الكيان نفسه حساسا.

كيف أعمل استخدام تقييم الأمان هذا؟

  1. راجع الإجراء الموصى به في https://security.microsoft.com/securescore?viewid=actions لاكتشاف أي من كيانات وحدة التحكم غير المجالية التي تم تكوينها لتفويض Kerberos غير آمن.

    تقييم أمان تفويض Kerberos غير آمن.

  2. اتخاذ الإجراء المناسب بشأن المستخدمين المعرضين للخطر، مثل إزالة السمة غير المقيدة الخاصة بهم أو تغييرها إلى تفويض مقيد أكثر أمانا.

ملاحظة

بينما يتم تحديث التقييمات في الوقت الفعلي تقريبا، يتم تحديث الدرجات والحالات كل 24 ساعة. بينما يتم تحديث قائمة الكيانات المتأثرة في غضون بضع دقائق من تنفيذ التوصيات، قد تستغرق الحالة وقتا حتى يتم وضع علامة عليها على أنها مكتملة.

الاصلاح

استخدم المعالجة المناسبة لنوع التفويض الخاص بك.

تفويض غير مقيد

إما تعطيل التفويض أو استخدام أحد أنواع تفويض Kerberos المقيد (KCD) التالية:

  • التفويض المقيد: تقييد الخدمات التي يمكن أن ينتحلها هذا الحساب.

    1. حدد الثقة في هذا الكمبيوتر للتفويض إلى خدمات محددة فقط.

      معالجة تفويض Kerberos غير المقيدة.

    2. حدد الخدمات التي يمكن لهذا الحساب تقديم بيانات اعتماد مفوضة إليها.

  • التفويض المقيد المستند إلى الموارد: تقييد الكيانات التي يمكنها انتحال شخصية هذا الحساب.
    يتم تكوين KCD المستند إلى الموارد باستخدام PowerShell. يمكنك استخدام Cmdlets Set-ADComputer أو Set-ADUser ، اعتمادا على ما إذا كان حساب انتحال الهوية هو حساب كمبيوتر أو حساب مستخدم / حساب خدمة.

تفويض مقيد

راجع المستخدمين الحساسين المدرجين في التوصيات وأزلهم من الخدمات التي يمكن للحساب المتأثر تقديم بيانات اعتماد مفوضة إليها.

معالجة تفويض Kerberos المقيدة.

التفويض المقيد المستند إلى الموارد (RBCD)

راجع المستخدمين الحساسين المدرجين في التوصيات وأزلهم من المورد. لمزيد من المعلومات حول تكوين RBCD، راجع تكوين تفويض Kerberos المقيد (KCD) في خدمات مجال Microsoft Entra.

الخطوات التالية