セキュリティ評価: セキュリティで保護されていない Kerberos の委任

  • [アーティクル]

Kerberos 委任とは

Kerberos の委任は、アプリケーションがエンドユーザのアクセス認証情報を要求して、発信元ユーザーに代わってリソースにアクセスできるようにする委任設定です。

セキュリティで保護されていない Kerberos 委任は、組織にどのようなリスクをもたらしますか。

セキュリティで保護されていない Kerberos の委任は、他の選ばれたサービスに対してあなたになりすます能力をエンティティに与えてしまいます。 たとえば、IIS Web サイトがあり、アプリケーション プール アカウントが制約のない委任で構成されているものとします。 IIS Web サイトでは Windows 認証も有効になっており、ネイティブ Kerberos 認証が許可されており、サイトではビジネス データ用のバックエンド SQL Server が使用されます。 ドメイン管理アカウントでは、IIS Web サイトを参照して認証します。 制約のない委任を使用する Web サイトでは、ドメイン コントローラーから SQL サービスへのサービス チケットを取得し、名前で取得できます。

Kerberos 委任の主な問題は、アプリケーションが常に正しいことをするように信頼する必要があるということです。 悪意のある行為者は、代わりにアプリケーションに間違ったことをさせることができます。 ドメイン管理者としてログオンしている場合、サイトは、必要な他のサービスへのチケットを作成し、自分のドメイン管理者にすることができます。たとえば、サイトはドメイン コントローラーを選択し、エンタープライズ管理者グループに変更を加えます。 同様に、サイトは KRBTGT アカウントのハッシュを取得したり、人事部から興味深いファイルをダウンロードしたりできます。 リスクは明らかで、安全でない委任の可能性はほぼ無限です。

さまざまな委任の種類によってもたらされるリスクについて、次で説明します。

  • 制約のない委任: 委任エントリの 1 つが機密性の高いものである場合、すべてのサービスが悪用される可能性があります。
  • 制約付き委任: 制約付きエンティティは、委任エントリの 1 つが機密性の高いものである場合に悪用される可能性があります。
  • リソース ベースの制約付き委任 (RBCD): エンティティ自体の機密性が高い場合、リソースベースの制約付きエンティティが悪用される可能性があります。

このセキュリティ評価はどのように使用できますか。

  1. セキュリティで保護されていない Kerberos 委任用に構成されているドメイン コントローラー エンティティを検出するために、 https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認します。

    セキュリティで保護されていない Kerberos 委任のセキュリティ評価。

  2. リスクのあるユーザーには、制約のない属性を削除したり、より安全な制約付きの委任に変更したりするなど、適切な措置を講じます。

Note

評価はほぼリアルタイムで更新されますが、スコアと状態の更新は 24 時間ごとです。 影響を受けるエンティティの一覧は、レコメンデーションを実装してから数分以内に更新されますが、状態が完了としてマークされるには時間がかかる場合があります。

Remediation

委任の種類に適した修復を使用します。

無制限の委任

委任を無効にするか、次のいずれかの Kerberos 制約付き委任 (KCD) の種類を使用します。

  • 制約付き委任: このアカウントが偽装できるサービスを制限します。

    1. [指定されたサービスへの委任でのみこのコンピューターを信頼する] をオンにします。

      Kerberos 制約なし委任の修復。

    2. このアカウントが委任された資格情報を提示できるサービスを指定します。

  • リソースベースの制約付き委任: このアカウントを偽装できるエンティティを制限します。
    リソースベースの KCD は PowerShell を使用して構成します。 偽装する側のアカウントがコンピューター アカウントであるか、ユーザー アカウントまたはサービス アカウントであるかに応じて、Set-ADComputer コマンドレットまたは Set-ADUser コマンドレットを使用します。

制約付き委任

レコメンデーションに記載されている機密性の高いユーザーを確認し、影響を受けるアカウントが委任された資格情報を提示できるサービスから削除します。

Kerberos 制約付き委任の修復。

リソース ベースの制約付き委任 (RBCD)

レコメンデーションに表示されている機密性の高いユーザーを確認し、リソースから削除します。 RBCD の構成の詳細については、「Microsoft Entraドメイン サービスで Kerberos の制約付き委任 (KCD) を構成する」を参照してください。

次のステップ