Kerberos Constrained Delegation Overview
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico de visão geral para o profissional de TI descreve novos recursos para a delegação restrita do Kerberos no Windows Server 2012 R2 e Windows Server 2012.
Descrição do recurso
A delegação restrita de Kerberos foi introduzida no Windows Server 2003 para proporcionar uma forma de delegação mais segura para ser usada em serviços. Quando configurada, a delegação restrita restringe os serviços nos quais um determinado servidor pode agir em nome de um usuário. Isso requer privilégios de administrador de domínio para configurar uma conta de domínio para um serviço e restringe a conta a um único domínio. Hoje, nas empresas, os serviços front-end não são projetados para se limitar à integração com serviços apenas em seus domínios.
Em sistemas operacionais mais antigos, nos quais o administrador de domínio configurava o serviço, o administrador do serviço não tinha uma maneira útil de saber quais serviços front-end eram delegados aos serviços de recursos eles possuíam. E qualquer serviço front-end que pudesse ser delegado a um serviço de recurso representava um possível ponto de ataque. Se um servidor que hospedava um serviço front-end fosse comprometido, e tivesse sido configurado para delegar aos serviços de recursos, os serviços de recurso também poderiam ser comprometidos.
No Windows Server 2012 R2 e no Windows Server 2012, a capacidade de configurar a delegação restrita para o serviço foi transferida do administrador de domínio para o administrador de serviço. Dessa forma, o administrador do serviço de back-end pode permitir ou negar os serviços front-end.
Para obter informações detalhadas sobre delegação restrita, conforme apresentada no Windows Server 2003, consulte Transição de protocolo e delegação restrita de Kerberos.
A implementação do protocolo Kerberos do Windows Server 2012 R2 e Windows Server 2012 inclui extensões específicas para a delegação restrita. O S4U2Proxy (Serviço de usuário para o proxy) permite que um serviço use seu respectivo tíquete de serviço do Kerberos para que um usuário obtenha um tíquete de serviço do KDC (Centro de distribuição de chaves) para um serviço de back-end. Essas extensões permitem que a delegação restrita seja configurada na conta do serviço de back-end, que pode estar em outro domínio. Para obter mais informações sobre essas extensões, consulte [MS-SFU]: Extensões do protocolo Kerberos: serviço para usuário e especificação do protocolo de delegação restrita na Biblioteca MSDN.
Aplicações práticas
A delegação restrita permite aos administradores de serviços especificar e impor limites de confiança para o aplicativo restringindo o escopo em que os serviços do aplicativo podem atuar em nome do usuário. Os administradores de serviços podem configurar quais contas de serviço front-end podem ser delegadas aos seus respectivos serviços back-end.
Com o suporte à delegação restrita entre domínios no Windows Server 2012 R2 e no Windows Server 2012, serviços front-end, como o Microsoft ISA (Internet Security and Acceleration) Server, o Microsoft Forefront Threat Management Gateway, o Microsoft Exchange OWA (Outlook Web Access) e o Microsoft SharePoint Server podem ser configurados para usar delegação restrita para autenticação em servidores em outros domínios. Isso dá suporte a soluções de serviços entre domínios usando uma infraestrutura Kerberos existente. A delegação restrita de Kerberos pode ser gerenciada por administradores de domínio ou administradores de serviços.
Delegação restrita entre domínios com base em recursos
A delegação restrita de Kerberos pode ser usada para fornecer delegação restrita quando o serviço front-end e os serviços de recurso não estão no mesmo domínio. Os administradores de serviços podem configurar a nova delegação especificando as contas de domínio dos serviços front-end que podem representar usuários nos objetos de conta dos serviços de recurso.
Qual é o valor agregado desta alteração?
Com o suporte à delegação restrita entre domínios, os serviços podem ser configurados para usar a delegação restrita para autenticação em servidores em outros domínios usando delegação não restrita. Isso dá suporte à autenticação para soluções de serviços entre domínios usando uma infraestrutura Kerberos existente sem a necessidade de confiar em serviços front-end para delegar a qualquer outro serviço.
Isso também transfere a decisão sobre se um servidor deve confiar na origem de uma identidade delegada do administrador de domínio delegando para o proprietário do recurso.
O que passou a funcionar de maneira diferente?
Uma alteração no protocolo subjacente permite a delegação restrita entre domínios. A implementação do protocolo Kerberos no Windows Server 2012 R2 e Windows Server 2012 inclui extensões para o protocolo S4U2Proxy (Serviço de usuário para o proxy). Trata-se de um conjunto de extensões para o protocolo Kerberos que permite que um serviço use seu respectivo tíquete de serviço Kerberos para que um usuário obtenha um tíquete de serviço do KDC (Centro de Distribuição de Chaves) para um serviço back-end.
Para obter informações de implementação sobre essas extensões, consulte [MS-SFU]: Extensões do protocolo Kerberos: serviço para usuário e especificação do protocolo de delegação restrita no MSDN.
Para obter mais informações sobre a sequência de mensagem básica para a delegação Kerberos com um TGT (tíquete de concessão de tíquete) encaminhado em comparação com o serviço para as extensões de usuário (S4U), consulte a seção 1.3.3 Visão geral do protocolo no [MS-SFU]: Extensões do protocolo Kerberos: Serviço para usuário e especificação do protocolo de delegação restrita.
Implicações de segurança da delegação restrita baseada em recursos
A delegação restrita baseada em recursos coloca o controle da delegação nas mãos do administrador que é o proprietário do recurso que está sendo acessado. Depende mais dos atributos do serviço de recurso do que de o serviço ser confiável para delegação. Como resultado, a delegação restrita baseada em recursos não pode usar o bit Trusted-to-Authenticate-for-Delegation que anteriormente controlava a transição de protocolo. O KDC sempre permite a transição de protocolo ao executar a delegação restrita baseada em recursos como se o bit estivesse definido.
Como o KDC não limita a transição de protocolo, dois novos SIDs conhecidos foram introduzidos para proporcionar esse controle ao administrador de recursos. Esses SIDs identificam se a transição de protocolo ocorreu e podem ser usados com listas de controle de acesso padrão para conceder ou limitar o acesso conforme necessário.
| SID | Descrição |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Um SID que indica que a identidade do cliente é declarada por uma autoridade de autenticação com base na prova de posse de credenciais do cliente. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Um SID que significa que a identidade do cliente é declarada por um serviço. |
Um serviço de back-end pode usar expressões de ACL padrão para determinar como o usuário foi autenticado.
Como você configura a delegação restrita baseada em recursos?
Para configurar um serviço de recurso para permitir acesso a um serviço front-end em nome de usuários, use cmdlets do Windows PowerShell.
Para recuperar uma lista de nomes de entidade, use os cmdlets Get-ADComputer, Get-ADServiceAccounte Get-ADUser com o parâmetro Properties PrincipalsAllowedToDelegateToAccount.
Para configurar o serviço de recurso, use os cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccounte Set-ADUser com o parâmetro PrincipalsAllowedToDelegateToAccount.
Requisitos de software
A delegação restrita com base em recurso só pode ser configurada em um controlador de domínio que executa o Windows Server 2012 R2 e o Windows Server 2012, mas pode ser aplicada em uma floresta em modo misto.
Você deve aplicar o seguinte hotfix para todos os controladores de domínio executando o Windows Server 2012 em domínios de conta de usuário no caminho de referência entre os domínios front-end e back-end que executam sistemas operacionais anteriores ao Windows Server: Falha KDC_ERR_POLICY de delegação restrita baseada em recursos em ambientes que têm controladores de domínio baseados no Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).