Evaluación de seguridad: delegación Kerberos no segura
¿Qué es la delegación de Kerberos?
La delegación de Kerberos es una configuración de delegación que permite a las aplicaciones solicitar credenciales de acceso de usuario final para acceder a los recursos en nombre del usuario de origen.
¿Qué riesgo supone la delegación de Kerberos no segura para una organización?
La delegación de Kerberos no segura ofrece a una entidad la capacidad de suplantar a cualquier otro servicio elegido. Por ejemplo, imagine que tiene un sitio web de IIS y la cuenta del grupo de aplicaciones está configurado con delegación sin restricciones. El sitio web de IIS también tiene habilitada la autenticación de Windows, lo que permite la autenticación Kerberos nativa y el sitio usa un servidor SQL Server back-end para datos empresariales. Con su cuenta de administrador de dominio, vaya al sitio web de IIS y autentíquelo. El sitio web, mediante la delegación sin restricciones, puede obtener un vale de servicio de un controlador de dominio al servicio SQL y hacerlo en su nombre.
El problema principal con la delegación de Kerberos es que debe confiar en la aplicación para que siempre haga lo correcto. En su lugar, los actores malintencionados pueden forzar a la aplicación a hacer lo incorrecto. Si ha iniciado sesión como administrador de dominio, el sitio puede crear un vale para cualquier otro servicio que desee, actuando como el administrador del dominio. Por ejemplo, el sitio podría elegir un controlador de dominio y realizar cambios en el grupo de administración de empresa. Del mismo modo, el sitio podría adquirir el hash de la cuenta KRBTGT o descargar un archivo de interés de su departamento de recursos humanos. El riesgo es claro y las posibilidades con delegación no segura son casi infinitas.
A continuación se muestra una descripción del riesgo que suponen los distintos tipos de delegación:
- Delegación sin restricciones: cualquier servicio se puede infringir si una de sus entradas de delegación es sensible.
- Delegación restringida: las entidades restringidas se pueden infringir si una de sus entradas de delegación es sensible.
- Delegación restringida basada en recursos (RBCD): las entidades restringidas basadas en recursos se pueden infringir si la propia entidad es sensible.
¿Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuáles de las entidades de controlador que no son de dominio están configuradas para la delegación de Kerberos no segura.
Tome las medidas adecuadas para aquellos usuarios en riesgo, como quitar su atributo sin restricciones o cambiarlo a una delegación restringida más segura.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos tras aplicar las acciones recomendadas, el estado puede tardar un tiempo hasta que se marque como Completado.
Corrección
Use la corrección adecuada para el tipo de delegación.
Delegación sin restricciones
Deshabilite la delegación o use uno de los siguientes tipos de delegación restringida de Kerberos (KCD):
Delegación restringida: restringe los servicios que esta cuenta puede suplantar.
Seleccione Confiar en este equipo para la delegación solo a los servicios especificados.
Especifique los Servicios para los que esta cuenta puede presentar credenciales delegadas.
Delegación restringida basada en recursos: restringe las entidades que pueden suplantar esta cuenta.
La KCD basada en recursos se configura mediante PowerShell. Se usan los cmdlets Set-ADComputer o Set-ADUser, dependiendo de si la cuenta de suplantación es una cuenta de equipo o una cuenta de servicio o usuario.
Delegación restringida
Revise los usuarios confidenciales enumerados en las recomendaciones y quítelos de los servicios a los que la cuenta afectada puede presentar credenciales delegadas.
Delegación restringida basada en recursos (RBCD)
Revise los usuarios confidenciales que aparecen en las recomendaciones y quítelos del recurso. Para más información sobre la configuraciòn de RBCD, consulte Configuración de la delegación restringida de Kerberos (KCD) en Microsoft Entra Domain Services.