Beveiligingsevaluatie: Onbeveiligde Kerberos-delegering
Wat is Kerberos-delegatie?
Kerberos-delegatie is een delegatie-instelling waarmee toepassingen toegangsreferenties voor eindgebruikers kunnen aanvragen voor toegang tot resources namens de oorspronkelijke gebruiker.
Welk risico vormt onbeveiligde Kerberos-delegatie voor een organisatie?
Onbeveiligde Kerberos-delegering biedt een entiteit de mogelijkheid om u te imiteren voor elke andere gekozen service. Stel dat u een IIS-website hebt en het account voor de groep van toepassingen is geconfigureerd met niet-gekoppelde delegering. Op de IIS-websitesite is ook Windows-verificatie ingeschakeld, waardoor systeemeigen Kerberos-verificatie is toegestaan. De site maakt gebruik van een back-end SQL Server voor bedrijfsgegevens. Met uw domein Beheer-account bladert u naar de IIS-website en verifieert u deze. De website kan met behulp van niet-getrainde delegering een serviceticket ophalen van een domeincontroller naar de SQL-service en dit doen in uw naam.
Het belangrijkste probleem met Kerberos-delegering is dat u de toepassing moet vertrouwen om altijd het juiste te doen. Kwaadwillende actoren kunnen in plaats daarvan afdwingen dat de toepassing het verkeerde doet. Als u bent aangemeld als domeinbeheerder, kan de site een ticket maken voor alle andere services die het wenst, zoals u, de domeinbeheerder. De site kan bijvoorbeeld een domeincontroller kiezen en wijzigingen aanbrengen in de ondernemingsbeheerdersgroep . Op dezelfde manier kan de site de hash van het KRBTGT-account verkrijgen of een interessant bestand downloaden van uw afdeling Human Resources. Het risico is duidelijk en de mogelijkheden met onbeveiligde delegatie zijn bijna eindeloos.
Hier volgt een beschrijving van het risico van verschillende delegatietypen:
- Niet-getrainde delegatie: elke service kan worden misbruikt als een van de overdrachtvermeldingen gevoelig is.
- Beperkte delegatie: beperkte entiteiten kunnen worden misbruikt als een van hun delegatievermeldingen gevoelig is.
- Beperkte overdracht op basis van resources (RBCD): beperkte entiteiten op basis van resources kunnen worden misbruikt als de entiteit zelf gevoelig is.
Hoe kan ik deze beveiligingsevaluatie gebruiken?
Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw niet-domeincontrollerentiteiten zijn geconfigureerd voor onbeveiligde Kerberos-delegering.
Neem de juiste actie op gebruikers die risico lopen, zoals het verwijderen van hun niet-gebonden kenmerk of het wijzigen van het kenmerk in een veiligere beperkte delegatie.
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.
Herstel
Gebruik het herstel dat geschikt is voor uw delegatietype.
Niet-getrainde delegatie
Schakel delegering uit of gebruik een van de volgende KCD-typen (Beperkte Kerberos-delegatie):
Beperkte delegering: beperkt welke services dit account kan imiteren.
Selecteer Deze computer alleen vertrouwen voor delegering naar opgegeven services.
Geef de Services op waarop dit account gedelegeerde referenties kan presenteren.
Beperkte delegering op basis van resources: beperkt welke entiteiten dit account kunnen imiteren.
KCD op basis van resources wordt geconfigureerd met behulp van PowerShell. U gebruikt de cmdlets Set-ADComputer of Set-ADUser , afhankelijk van of het imitatieaccount een computeraccount of een gebruikersaccount/serviceaccount is.
Beperkte delegatie
Controleer de gevoelige gebruikers die worden vermeld in de aanbevelingen en verwijder ze uit de services waarnaar het betrokken account gedelegeerde referenties kan presenteren.
Beperkte overdracht op basis van resources (RBCD)
Controleer de gevoelige gebruikers die worden vermeld in de aanbevelingen en verwijder ze uit de resource. Zie Kerberos-beperkte delegatie (KCD) configureren in Microsoft Entra Domain Services voor meer informatie over het configureren van RBCD.