Compartilhar via


Avaliação de segurança: delegação não segura do Kerberos

O que é a delegação do Kerberos?

A delegação do Kerberos é uma configuração de delegação que permite que os aplicativos solicitem credenciais de acesso de usuário final para acessar recursos em nome do usuário de origem.

Que risco a delegação não segura do Kerberos representa para uma organização?

A delegação não segura do Kerberos dá a uma entidade a capacidade de se passar por você em outros serviços escolhidos. Por exemplo, imagine que você tenha um site do IIS e a conta do pool de aplicativos esteja configurada com delegação irrestrita. O site do IIS também tem a Autenticação do Windows habilitada, permitindo a autenticação Kerberos nativa, e o site usa um SQL Server de back-end para dados corporativos. Com sua conta de administrador de domínio, você navega até o site do IIS e faz autenticação nele. O site, usando delegação irrestrita, pode obter um tíquete de serviço de um controlador de domínio para o serviço SQL e fazer isso em seu nome.

O principal problema da delegação do Kerberos é que você precisa confiar no aplicativo para sempre fazer a coisa certa. Agentes mal-intencionados podem, em vez disso, forçar o aplicativo a fazer a coisa errada. Se você tiver feito logon como administrador de domínio, o site poderá criar um tíquete para outros serviços que quiser, fazendo-se passar por você, o administrador do domínio. Por exemplo, o site pode escolher um controlador de domínio e fazer alterações no grupo de administradores corporativos. Da mesma forma, o site pode adquirir o hash da conta KRBTGT, ou baixar um arquivo interessante do seu departamento de Recursos Humanos. O risco é claro e as possibilidades com delegação insegura são quase infinitas.

Segue abaixo uma descrição do risco representado pelos diferentes tipos de delegação:

  • Delegação irrestrita: qualquer serviço pode ser abusado se uma de suas entradas de delegação for confidencial.
  • Delegação restrita: entidades restritas podem ser abusadas se uma de suas entradas de delegação for confidencial.
  • Delegação restrita baseada em recursos (RBCD): entidades restritas baseadas em recursos podem ser abusadas se a própria entidade for confidencial.

Como faço para usar essa avaliação de segurança?

  1. Revise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais das entidades de controlador de domínio não estão configuradas para delegação não segura do Kerberos.

    Avaliação de segurança de delegação Kerberos não segura.

  2. Tome as medidas apropriadas sobre os usuários em risco, como remover o atributo irrestrito ou alterá-lo para uma delegação restrita mais segura.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Remediação

Use a correção apropriada ao seu tipo de delegação.

Delegação sem restrições

Desabilite a delegação ou use um dos seguintes tipos de KCD (delegação restrita de Kerberos):

  • Delegação restrita: restringe os serviços que essa conta pode representar.

    1. Selecione Confiar no computador para delegação apenas a serviços especificados.

      Correção de delegação irrestrita de Kerberos.

    2. Especifique os Serviços aos quais esta conta pode apresentar credenciais delegadas.

  • Delegação restrita baseada em recursos: restringe quais entidades podem representar essa conta.
    A KCD baseada em recursos é configurada no PowerShell. Use os cmdlets Set-ADComputer ou Set-ADUser de acordo com o tipo da conta de representação (por exemplo, conta de computador, conta de usuário ou conta de serviço).

Delegação restrita

Revise os usuários confidenciais listados nas recomendações e remova-os dos serviços aos quais a conta afetada pode apresentar credenciais delegadas.

Correção de delegação restrita de Kerberos.

Delegação restrita baseada em recursos (RBCD)

Revise os usuários confidenciais listados nas recomendações e remova-os do recurso. Para obter mais informações sobre como configurar a RBCD, confira Configurar a delegação restrita de Kerberos (KCD) no Microsoft Entra Domain Services.

Próximas etapas