Kerberos Constrained Delegation Overview

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Übersichtsthema für IT-Profis werden neue Funktionen für die eingeschränkte Kerberos-Delegierung in Windows Server 2012 R2 und Windows Server 2012.

Featurebeschreibung

Die eingeschränkte Kerberos-Delegierung wurde in Windows Server 2003 eingeführt, um eine sicherere Form der Delegierung bereitzustellen, die von Diensten verwendet werden kann. Wenn dieses Feature konfiguriert ist, beschränkt die eingeschränkte Delegierung die Dienste, für die ein angegebener Server im Auftrag eines Benutzers agieren kann. Dies erfordert Domänenadministratorrechte zum Konfigurieren eines Domänenkontos für einen Dienst und beschränkt das Konto auf eine einzige Domäne. In der heutigen Unternehmensumgebung sind Front-End-Dienste nicht so konzipiert, dass sie auf die Integration mit Diensten in ihrer Domäne beschränkt sind.

In früheren Betriebssystemversionen, in denen der Dienst vom Domänenadministrator konfiguriert wurde, hatte der Dienstadministrator keine praktische Möglichkeit herauszufinden, welche Front-End-Dienste an die Ressourcendienste delegierten, die sich in ihrem Besitz befanden. Jeder Front-End-Dienst, der an einen Ressourcendienst delegieren konnte, bot einen potenziellen Angriffspunkt. Wenn ein Server kompromittiert wurde, der einen Front-End-Dienst hostete, und wenn dieser Server für die Delegierung an Ressourcendienste konfiguriert war, wurden möglicherweise auch die Ressourcendienste kompromittiert.

In Windows Server 2012 R2 und Windows Server 2012 wurde die Möglichkeit, die eingeschränkte Delegierung für den Dienst zu konfigurieren, vom Domänenadministrator an den Dienstadministrator übertragen. Auf diese Weise kann der Back-End-Dienstadministrator Front-End-Dienste erlauben oder verweigern.

Ausführliche Informationen zu der in Windows Server 2003 eingeführten eingeschränkten Delegierung finden Sie unter Kerberos-Protokollübergang und eingeschränkte Delegierung.

Die Windows Server 2012 R2- und Windows Server 2012-Implementierung des Kerberos-Protokolls enthält Erweiterungen speziell für die eingeschränkte Delegierung. Service for User to Proxy (S4U2Proxy) ermöglicht einem Dienst die Verwendung seines Kerberos-Diensttickets für einen Benutzer, um ein Dienstticket vom Schlüsselverteilungscenter (KDC) zu einem Back-End-Dienst zu erhalten. Diese Erweiterungen ermöglichen die Konfiguration der eingeschränkten Delegierung für das Konto des Back-End-Diensts, das sich in einer anderen Domäne befinden kann. Weitere Informationen zu diesen Erweiterungen finden Sie im Thema zu [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User (S4U) und eingeschränkte Delegierung in der MSDN-Bibliothek.

Praktische Anwendung

Die eingeschränkte Delegierung bietet Dienstadministratoren die Möglichkeit, Anwendungsvertrauensgrenzen anzugeben und zu erzwingen, indem sie den Bereich einschränken, in dem Anwendungsdienste im Auftrag eines Benutzers agieren können. Dienstadministratoren können konfigurieren, welche Front-End-Dienstkonten die Authentifizierung an ihre Back-End-Dienste delegieren können.

Durch die Unterstützung der domänenübergreifenden eingeschränkten Delegierung in Windows Server 2012 R2 und Windows Server 2012 werden Front-End-Dienste wie Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Webzugriff (OWA) und Microsoft SharePoint Server kann so konfiguriert werden, dass die eingeschränkte Delegierung für die Authentifizierung bei Servern in anderen Domänen verwendet wird. So können domänenübergreifende Dienstlösungen mit einer vorhandenen Kerberos-Infrastruktur unterstützt werden. Die eingeschränkte Kerberos-Delegierung kann von Domänenadministratoren oder Dienstadministratoren verwaltet werden.

Domänenübergreifende, ressourcenbasierte eingeschränkte Delegierung

Mithilfe der eingeschränkten Kerberos-Delegierung kann eine eingeschränkte Delegierung bereitgestellt werden, wenn sich der Front-End-Dienst und die Ressourcendienste nicht in der gleichen Domäne befinden. Dienstadministratoren können die neue Delegierung konfigurieren, indem sie die Domänenkonten der Front-End-Dienste angeben, die die Identität von Benutzern für die Kontoobjekte der Ressourcendienste annehmen können.

Welchen Nutzen bietet diese Änderung?

Durch die Unterstützung der domänenübergreifenden eingeschränkten Delegierung können Dienste so konfiguriert werden, dass sie für die Authentifizierung bei Servern in anderen Domänen anstelle der uneingeschränkten Delegierung die eingeschränkte Delegierung verwenden. So kann anhand einer vorhandenen Kerberos-Infrastruktur Authentifizierungsunterstützung für domänenübergreifende Dienstlösungen bereitgestellt werden, ohne Front-End-Diensten für die Delegierung an einen Dienst vertrauen zu müssen.

Dadurch wird auch die Entscheidung, ob ein Server der Quelle einer delegierten Identität vertrauen soll, vom delegierenden Domänenadministrator an den Ressourcenbesitzer verschoben.

Worin bestehen die Unterschiede?

Eine Änderung im zugrunde liegenden Protokoll ermöglicht die domänenübergreifende eingeschränkte Delegierung. Die Windows Server 2012 R2- und Windows Server 2012-Implementierung des Kerberos-Protokolls enthält Erweiterungen für das Dienst-zu-Proxy-Protokoll (S4U2Proxy). Diese Erweiterungen des Kerberos-Protokolls ermöglichen es einem Dienst, mithilfe seines Kerberos-Diensttickets für einen Benutzer ein Dienstticket aus dem Schlüsselverteilungscenter für einen Back-End-Dienst abzurufen.

Weitere Informationen zur Implementierung dieser Erweiterungen finden Sie im Thema zu [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User (S4U) und eingeschränkte Delegierung in der MSDN-Bibliothek.

Weitere Informationen zur grundlegenden Nachrichtensequenz für die Kerberos-Delegierung mit einem weitergeleiteten Ticket-Granting Ticket (TGT) im Vergleich zu Service-for-User-Erweiterungen (S4U) finden Sie im Abschnitt 1.3.3 Übersicht über das Protokoll in [MS-SFU]: Kerberos-Protokollerweiterungen: Protokollspezifikation für Service-for-User und eingeschränkte Delegierung.

Sicherheitsauswirkungen der ressourcenbasierten eingeschränkten Delegierung

Die ressourcenbasierte eingeschränkte Delegierung übergibt die Kontrolle der Delegierung an den Administrator, der besitzer der Ressource ist, auf die zugegriffen wird. Dies hängt von Attributen des Ressourcendiensts ab, anstatt von dem Dienst, dem die Delegieren als vertrauenswürdig eingestuft werden. Daher kann die ressourcenbasierte eingeschränkte Delegierung nicht das Bit "Vertrauenswürdige Authentifizierung für Delegierung" verwenden, das zuvor den Protokollübergang gesteuert hat. Das KDC lässt beim Ausführen der ressourcenbasierten eingeschränkten Delegierung immer den Protokollübergang zu, als ob das Bit festgelegt wäre.

Da das KDC den Protokollübergang nicht einschränkt, wurden zwei neue bekannte SIDs eingeführt, um diese Steuerung für den Ressourcenadministrator zu ermöglichen. Diese SIDs identifizieren, ob ein Protokollübergang stattgefunden hat, und können mit Standard-Zugriffssteuerungslisten verwendet werden, um den Zugriff bei Bedarf zu gewähren oder zu beschränken.

SID Beschreibung
AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY
S-1-18-1
Eine SID, die bedeutet, dass die Identität des Clients von einer Authentifizierungsstelle basierend auf dem Nachweis des Besitzes von Clientanmeldeinformationen bestätigen wird.
SERVICE_ASSERTED_IDENTITY
S-1-18-2
Eine SID, die bedeutet, dass die Identität des Clients von einem Dienst bestätigen wird.

Ein Back-End-Dienst kann Standard-ACL-Ausdrücke verwenden, um zu bestimmen, wie der Benutzer authentifiziert wurde.

Wie konfigurieren Sie die ressourcenbasierte eingeschränkte Delegierung?

Verwenden Sie Windows PowerShell-Cmdlets, um einen Ressourcendienst zum Zulassen des Front-End-Dienstzugriffs im Auftrag von Benutzern zu konfigurieren.

  • Verwenden Sie zum Abrufen einer Liste von Prinzipals die Cmdlets Get-ADComputer, Get-ADServiceAccount und Get-ADUser mit dem Parameter Properties PrincipalsAllowedToDelegateToAccount .

  • Verwenden Sie zum Konfigurieren des Ressourcendiensts die Cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount und Set-ADUser mit dem Parameter PrincipalsAllowedToDelegateToAccount .

Softwareanforderungen

Die ressourcenbasierte eingeschränkte Delegierung kann nur auf einem Domänencontroller konfiguriert werden, auf dem Windows Server 2012 R2 und Windows Server 2012 ausgeführt wird. Sie kann jedoch innerhalb einer Gesamtstruktur im gemischten Modus angewendet werden.

Sie müssen den folgenden Hotfix auf alle Domänencontroller anwenden, die Windows Server 2012 in Benutzerkontendomänen auf dem Verweispfad zwischen den Front-End- und Back-End-Domänen ausführen, auf denen Betriebssysteme vor Windows Server ausgeführt werden: Ressourcenbasierte eingeschränkte Delegierung KDC_ERR_POLICY Fehler in Umgebungen mit Windows Server 2008 R2-basierten Domänencontrollern (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro ).