Penilaian keamanan: Delegasi Kerberos tidak aman
Apa itu delegasi Kerberos?
Delegasi Kerberos adalah pengaturan delegasi yang memungkinkan aplikasi meminta kredensial akses pengguna akhir untuk mengakses sumber daya atas nama pengguna asal.
Risiko apa yang ditimbutkan oleh delegasi Kerberos yang tidak aman ke organisasi?
Delegasi Kerberos yang tidak aman memberi entitas kemampuan untuk meniru Anda ke layanan lain yang dipilih. Misalnya, bayangkan Anda memiliki situs web IIS, dan akun kumpulan aplikasi dikonfigurasi dengan delegasi yang tidak dibatasi. Situs situs web IIS juga mengaktifkan Autentikasi Windows, memungkinkan autentikasi Kerberos asli, dan situs menggunakan SQL Server back-end untuk data bisnis. Dengan akun Admin Domain, Anda menelusuri situs web IIS dan mengautentikasinya. Situs web, menggunakan delegasi yang tidak dibatasi bisa mendapatkan tiket layanan dari pengendali domain ke layanan SQL, dan melakukannya atas nama Anda.
Masalah utama dengan delegasi Kerberos adalah Anda perlu mempercayai aplikasi untuk selalu melakukan hal yang benar. Aktor jahat malah dapat memaksa aplikasi untuk melakukan hal yang salah. Jika Anda masuk sebagai admin domain, situs dapat membuat tiket ke layanan lain apa pun yang diinginkannya, bertindak sebagai Anda, admin domain. Misalnya, situs dapat memilih pengendali domain, dan membuat perubahan pada grup admin perusahaan. Demikian pula, situs ini dapat memperoleh hash akun KRBTGT, atau mengunduh file menarik dari departemen Sumber Daya Manusia Anda. Risikonya jelas dan kemungkinan dengan delegasi yang tidak aman hampir tidak ada habisnya.
Berikut ini adalah deskripsi risiko yang ditimbulkan oleh berbagai jenis delegasi:
- Delegasi yang tidak dibatasi: Layanan apa pun dapat disalahgunakan jika salah satu entri delegasi mereka sensitif.
- Delegasi yang dibatasi: Entitas yang dibatasi dapat disalahgunakan jika salah satu entri delegasi mereka sensitif.
- Delegasi yang dibatasi berbasis sumber daya (RBCD): Entitas yang dibatasi berbasis sumber daya dapat disalahgunakan jika entitas itu sendiri sensitif.
Bagaimana cara menggunakan penilaian keamanan ini?
Tinjau tindakan yang direkomendasikan di untuk menemukan entitas pengontrol non-domain mana yang dikonfigurasi https://security.microsoft.com/securescore?viewid=actions untuk delegasi Kerberos yang tidak aman.
Ambil tindakan yang sesuai pada pengguna berisiko tersebut, seperti menghapus atribut mereka yang tidak dibatasi atau mengubahnya menjadi delegasi yang dibatasi dengan lebih aman.
Catatan
Meskipun penilaian diperbarui mendekati real time, skor dan status diperbarui setiap 24 jam. Meskipun daftar entitas yang terkena dampak diperbarui dalam beberapa menit setelah Anda menerapkan rekomendasi, status mungkin masih membutuhkan waktu hingga ditandai sebagai Selesai.
Remediasi
Gunakan remediasi yang sesuai dengan jenis delegasi Anda.
Delegasi yang tidak dibatasi
Nonaktifkan delegasi atau gunakan salah satu jenis delegasi yang dibatasi Kerberos (KCD) berikut:
Delegasi yang dibatasi: Membatasi layanan mana yang dapat ditiru oleh akun ini.
Pilih Percayai komputer ini untuk delegasi ke layanan tertentu saja.
Tentukan Layanan tempat akun ini dapat menyajikan kredensial yang didelegasikan.
Delegasi yang dibatasi berbasis sumber daya: Membatasi entitas mana yang dapat meniru akun ini.
KCD berbasis sumber daya dikonfigurasi menggunakan PowerShell. Anda menggunakan cmdlet Set-ADComputer atau Set-ADUser, bergantung pada apakah akun yang meniru adalah akun komputer atau akun pengguna/akun layanan.
Delegasi yang dibatasi
Tinjau pengguna sensitif yang tercantum dalam rekomendasi dan hapus dari layanan tempat akun yang terpengaruh dapat menyajikan kredensial yang didelegasikan.
Delegasi yang dibatasi berbasis sumber daya (RBCD)
Tinjau pengguna sensitif yang tercantum dalam rekomendasi dan hapus dari sumber daya. Untuk informasi selengkapnya tentang mengonfigurasi RBCD, lihat Mengonfigurasi delegasi yang dibatasi Kerberos (KCD) di Microsoft Entra Domain Services.