Gambaran Umum Delegasi yang Dibatasi Kerberos
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik gambaran umum untuk profesional TI ini menjelaskan kemampuan baru untuk delegasi yang dibatasi Kerberos di Windows Server 2012 R2 dan Windows Server 2012.
Deskripsi fitur
Delegasi yang dibatasi Kerberos diperkenalkan di Windows Server 2003 untuk menyediakan bentuk delegasi yang lebih aman yang dapat digunakan oleh layanan. Ketika dikonfigurasi, delegasi yang dibatasi membatasi layanan tempat server yang ditentukan dapat bertindak atas nama pengguna. Ini memerlukan hak istimewa administrator domain untuk mengonfigurasi akun domain untuk layanan dan membatasi akun ke satu domain. Di perusahaan saat ini, layanan front-end tidak dirancang untuk terbatas pada integrasi hanya dengan layanan di domain mereka.
Dalam sistem operasi sebelumnya di mana administrator domain mengonfigurasi layanan, administrator layanan tidak memiliki cara yang berguna untuk mengetahui layanan front-end mana yang didelegasikan ke layanan sumber daya yang mereka miliki. Dan layanan front-end apa pun yang dapat mendelegasikan ke layanan sumber daya mewakili titik serangan potensial. Jika server yang menghosting layanan front-end disusupi, dan dikonfigurasi untuk mendelegasikan ke layanan sumber daya, layanan sumber daya juga dapat disusupi.
Di Windows Server 2012 R2 dan Windows Server 2012 , kemampuan untuk mengonfigurasi delegasi yang dibatasi untuk layanan telah ditransfer dari administrator domain ke administrator layanan. Dengan cara ini, administrator layanan back-end dapat mengizinkan atau menolak layanan front-end.
Untuk informasi terperinci tentang delegasi yang dibatasi seperti yang diperkenalkan di Windows Server 2003, lihat Transisi Protokol Kerberos dan Delegasi yang Dibatasi.
Implementasi Windows Server 2012 R2 dan Windows Server 2012 dari protokol Kerberos mencakup ekstensi khusus untuk delegasi yang dibatasi. Layanan untuk User to Proxy (S4U2Proxy) memungkinkan layanan untuk menggunakan tiket layanan Kerberos-nya bagi pengguna untuk mendapatkan tiket layanan dari Key Distribution Center (KDC) ke layanan back-end. Ekstensi ini memungkinkan delegasi yang dibatasi untuk dikonfigurasi pada akun layanan back-end, yang dapat berada di domain lain. Untuk informasi selengkapnya tentang ekstensi ini, lihat [MS-SFU]: Ekstensi Protokol Kerberos: Layanan untuk Spesifikasi Protokol Delegasi Pengguna dan Dibatasi di Pustaka MSDN.
Aplikasi praktis
Delegasi yang dibatasi memberi administrator layanan kemampuan untuk menentukan dan menerapkan batas kepercayaan aplikasi dengan membatasi cakupan di mana layanan aplikasi dapat bertindak atas nama pengguna. Administrator layanan dapat mengonfigurasi akun layanan front-end mana yang dapat mendelegasikan ke layanan back-end mereka.
Dengan mendukung delegasi yang dibatasi di seluruh domain di Windows Server 2012 R2 dan Windows Server 2012 , layanan front-end seperti Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA), dan Microsoft SharePoint Server dapat dikonfigurasi untuk menggunakan delegasi terbatas untuk mengautentikasi ke server di domain lain. Ini menyediakan dukungan untuk solusi layanan di seluruh domain dengan menggunakan infrastruktur Kerberos yang ada. Delegasi yang dibatasi Kerberos dapat dikelola oleh administrator domain atau administrator layanan.
Delegasi yang dibatasi berbasis sumber daya di seluruh domain
Delegasi yang dibatasi Kerberos dapat digunakan untuk memberikan delegasi yang dibatasi ketika layanan front-end dan layanan sumber daya tidak berada di domain yang sama. Administrator layanan dapat mengonfigurasi delegasi baru dengan menentukan akun domain layanan front-end yang dapat meniru pengguna pada objek akun layanan sumber daya.
Nilai apa yang ditambahkan perubahan ini?
Dengan mendukung delegasi yang dibatasi di seluruh domain, layanan dapat dikonfigurasi untuk menggunakan delegasi yang dibatasi untuk mengautentikasi ke server di domain lain daripada menggunakan delegasi yang tidak dibatasi. Ini menyediakan dukungan autentikasi untuk seluruh solusi layanan domain dengan menggunakan infrastruktur Kerberos yang ada tanpa perlu mempercayai layanan front-end untuk mendelegasikan ke layanan apa pun.
Ini juga mengalihkan keputusan apakah server harus mempercayai sumber identitas yang didelegasikan dari administrator domain yang didelegasikan ke pemilik sumber daya.
Apa yang bekerja secara berbeda?
Perubahan dalam protokol yang mendasar memungkinkan delegasi yang dibatasi di seluruh domain. Implementasi Windows Server 2012 R2 dan Windows Server 2012 dari protokol Kerberos mencakup ekstensi ke protokol Layanan untuk Pengguna ke Proksi (S4U2Proxy). Ini adalah serangkaian ekstensi ke protokol Kerberos yang memungkinkan layanan untuk menggunakan tiket layanan Kerberos-nya bagi pengguna untuk mendapatkan tiket layanan dari Key Distribution Center (KDC) ke layanan back-end.
Untuk informasi implementasi tentang ekstensi ini, lihat [MS-SFU]: Ekstensi Protokol Kerberos: Layanan untuk Spesifikasi Protokol Delegasi Pengguna dan Dibatasi di MSDN.
Untuk informasi selengkapnya tentang urutan pesan dasar untuk delegasi Kerberos dengan tiket pemberian tiket (TGT) yang diteruskan dibandingkan dengan ekstensi Layanan untuk Pengguna (S4U), lihat bagian 1.3.3 Gambaran Umum Protokol di [MS-SFU]: Ekstensi Protokol Kerberos: Layanan untuk Spesifikasi Protokol Delegasi Pengguna dan Dibatasi.
Implikasi Keamanan Delegasi Yang Dibatasi Berbasis Sumber Daya
Delegasi yang dibatasi berbasis sumber daya menempatkan kontrol delegasi di tangan administrator yang memiliki sumber daya yang diakses. Ini tergantung pada atribut layanan sumber daya daripada layanan yang dipercaya untuk mendelegasikan. Akibatnya, delegasi yang dibatasi berbasis sumber daya tidak dapat menggunakan bit Trusted-to-Authenticate-for-Delegation yang sebelumnya mengontrol transisi protokol. KDC selalu memungkinkan transisi protokol saat melakukan delegasi yang dibatasi berbasis sumber daya seolah-olah bit diatur.
Karena KDC tidak membatasi transisi protokol, dua SID terkenal baru diperkenalkan untuk memberikan kontrol ini kepada administrator sumber daya. SID ini mengidentifikasi apakah transisi protokol telah terjadi, dan dapat digunakan dengan daftar kontrol akses standar untuk memberikan atau membatasi akses sesuai kebutuhan.
| SID | Deskripsi |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
SID yang berarti identitas klien ditegaskan oleh otoritas autentikasi berdasarkan bukti kepemilikan kredensial klien. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
SID yang berarti identitas klien dinyatakan oleh layanan. |
Layanan backend dapat menggunakan ekspresi ACL standar untuk menentukan bagaimana pengguna diautentikasi.
Bagaimana Anda mengonfigurasi Delegasi Yang Dibatasi Berbasis Sumber Daya?
Untuk mengonfigurasi layanan sumber daya untuk mengizinkan akses layanan front-end atas nama pengguna, gunakan cmdlet Windows PowerShell.
Untuk mengambil daftar prinsipal, gunakan cmdlet Get-ADComputer, Get-ADServiceAccount, dan Get-ADUser dengan parameter Properties PrincipalsAllowedToDelegateToAccount.
Untuk mengonfigurasi layanan sumber daya, gunakan cmdlet New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount, dan Set-ADUser dengan parameter PrincipalsAllowedToDelegateToAccount .
Persyaratan perangkat lunak
Delegasi yang dibatasi berbasis sumber daya hanya dapat dikonfigurasi pada pengendali domain yang menjalankan Windows Server 2012 R2 dan Windows Server 2012, tetapi dapat diterapkan dalam forest mode campuran.
Anda harus menerapkan perbaikan berikut ke semua pengontrol domain yang menjalankan Windows Server 2012 di domain akun pengguna pada jalur rujukan antara domain front-end dan back-end yang menjalankan sistem operasi lebih awal dari Windows Server: Delegasi yang dibatasi berbasis sumber daya KDC_ERR_POLICY kegagalan di lingkungan yang memiliki pengontrol domain berbasis Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).