Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os novos recursos para delegação restrita de Kerberos no Windows Server.
Descrição do recurso
A delegação restrita de Kerberos foi introduzida no Windows Server para fornecer uma forma mais segura de delegação que poderia ser usada pelos serviços. Quando configurada, a delegação restrita restringe os serviços aos quais o servidor especificado pode agir em nome de um usuário. Isso requer privilégios de administrador de domínio para configurar uma conta de domínio para um serviço e restringe a conta a um único domínio. Nas empresas modernas, os serviços front-end não são projetados para se integrar apenas aos serviços em seu domínio.
Em sistemas operacionais anteriores, os administradores de domínio configuravam o serviço e os administradores de serviço não tinham como saber quais serviços front-end delegavam aos serviços de recursos de sua propriedade. E qualquer serviço front-end que pudesse delegar a um serviço de recursos representava um ponto de ataque potencial. Se um servidor que hospedava um serviço front-end fosse comprometido e fosse configurado para delegar a serviços de recursos, os serviços de recursos também poderiam ser comprometidos.
No Windows Server 2012 R2 e no Windows Server 2012, a capacidade de configurar a delegação restrita para o serviço é transferida do administrador do domínio para o administrador do serviço. Dessa forma, o administrador de serviço back-end pode permitir ou negar serviços front-end.
A implementação do protocolo Kerberos do Windows Server 2012 R2 e Windows Server 2012 inclui extensões especificamente para delegação restrita. O Service for User to Proxy (S4U2Proxy) permite que um serviço use seu tíquete de serviço Kerberos para que um usuário obtenha um tíquete de serviço do Centro de Distribuição de Chaves (KDC) para um serviço back-end. Essas extensões permitem que a delegação restrita seja configurada na conta do serviço back-end, que pode estar em outro domínio. Para obter mais informações sobre estas extensões, consulte [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification na MSDN Library.
Aplicações práticas
A delegação restrita permite que os administradores de serviço especifiquem e imponham limites de confiança do aplicativo, limitando onde os serviços de aplicativo podem agir em nome de um usuário. Os administradores de serviço podem configurar quais contas de serviço front-end podem delegar aos seus serviços back-end.
Serviços front-end como o Microsoft Internet Security and Acceleration (ISA) Server, o Microsoft Forefront Threat Management Gateway, o Microsoft Exchange Outlook Web Access (OWA) e o Microsoft SharePoint Server podem usar delegação restrita para autenticação em servidores em outros domínios. Isso fornece suporte para soluções de serviço entre domínios usando uma infraestrutura Kerberos existente. A delegação restrita de Kerberos pode ser gerenciada por administradores de domínio ou administradores de serviço.
Delegação restrita baseada em recursos entre domínios
A delegação restrita de Kerberos permite fornecer delegação restrita quando o serviço front-end e os serviços de recursos não estão no mesmo domínio. Os administradores de serviço podem configurar a nova delegação especificando as contas de domínio dos serviços front-end que podem representar usuários nos objetos de conta dos serviços de recurso.
Que valor acrescenta esta alteração?
Os serviços podem usar a delegação restrita para autenticar em servidores em outros domínios, em vez de usar a delegação sem restrições. Isso fornece suporte de autenticação para soluções de serviço entre domínios usando uma infraestrutura Kerberos existente sem exigir confiança nos serviços front-end para delegar a qualquer serviço.
Isso também transfere a decisão sobre se um servidor deve confiar na origem de uma identidade delegada do administrador do domínio de onde a delegação é feita para o proprietário do recurso.
O que funciona de forma diferente?
Uma alteração no protocolo subjacente permite a delegação restrita entre domínios. A implementação do protocolo Kerberos para Windows Server 2012 R2 e Windows Server 2012 inclui extensões para o protocolo Service for User to Proxy (S4U2Proxy). Este é um conjunto de extensões para o protocolo Kerberos que permite que um serviço use seu tíquete de serviço Kerberos para um usuário obter um tíquete de serviço do Centro de Distribuição de Chaves (KDC) para um serviço back-end.
Para obter informações sobre a implementação dessas extensões, consulte [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification no MSDN.
Para mais informações sobre a sequência básica de mensagens para a delegação Kerberos com um tíquete de concessão de tíquete (TGT) adiantado em comparação com as extensões Service for User (S4U), consulte a seção 1.3.3 Visão geral do protocolo em [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification.
Implicações de segurança da delegação restrita baseada em recursos
A delegação restrita baseada em recursos dá o controle da delegação ao administrador proprietário do recurso que está sendo acessado. Depende dos atributos do serviço de recursos, em vez de confiar no serviço para delegar. Como resultado, a delegação restrita baseada em recursos não pode usar o bit Confiável para Autenticar para Delegação que controlava anteriormente a transição de protocolo. O KDC sempre permite a transição de protocolo ao executar a delegação restrita baseada em recursos como se o bit estivesse definido.
Como o KDC não limita a transição de protocolo, dois novos SIDs conhecidos dão esse controle ao administrador de recursos. Esses SIDs identificam se a transição de protocolo ocorreu e podem ser usados com listas de controle de acesso padrão para conceder ou limitar o acesso, conforme necessário.
| SID | Description |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Um SID que significa que a identidade do cliente é afirmada por uma autoridade de autenticação com base na prova de posse das credenciais do cliente. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Um SID que significa que a identidade do cliente é afirmada por um serviço. |
Um serviço de back-end pode usar expressões ACL padrão para determinar como o usuário foi autenticado.
Como configurar a delegação restrita baseada em recursos?
Para configurar um serviço de recursos para permitir que os serviços front-end acessem recursos em nome dos usuários, use cmdlets do Windows PowerShell.
Para recuperar uma lista de entidades de segurança, use os cmdlets Get-ADComputer, Get-ADServiceAccount e Get-ADUser com o parâmetro Properties PrincipalsAllowedToDelegateToAccount .
Para configurar o serviço de recurso, use os cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount e Set-ADUser com o parâmetro PrincipalsAllowedToDelegateToAccount .