Поделиться через

Оценка безопасности: небезопасное делегирование Kerberos

  • Статья

Что такое делегирование Kerberos?

Делегирование Kerberos — это параметр делегирования, позволяющий приложениям запрашивать учетные данные доступа конечных пользователей для доступа к ресурсам от имени исходного пользователя.

Какой риск представляет небезопасное делегирование Kerberos для организации?

Небезопасное делегирование Kerberos дает сущности возможность олицетворения вас любой другой выбранной службе. Например, представьте, что у вас есть веб-сайт IIS, а учетная запись пула приложений настроена с неограниченным делегированием. Сайт веб-сайта IIS также включает проверку подлинности Windows, позволяя собственную проверку подлинности Kerberos, а сайт использует серверную часть SQL Server для бизнес-данных. С помощью учетной записи Администратор домена перейдите на веб-сайт IIS и выполните проверку подлинности. Веб-сайт, используя неограниченное делегирование, может получить запрос на обслуживание от контроллера домена к службе SQL и сделать это в вашем имени.

Основной проблемой делегирования Kerberos является то, что необходимо доверять приложению, чтобы всегда делать правильные действия. Злоумышленники могут вместо этого заставить приложение сделать не так. Если вы вошли в систему в качестве администратора домена, сайт может создать билет в любые другие службы, которые он хочет, выступая в качестве администратора домена. Например, сайт может выбрать контроллер домена и внести изменения в группу администрирования предприятия. Аналогичным образом сайт может получить хэш учетной записи KRBTGT или скачать интересный файл из отдела кадров. Риск очевиден, и возможности с небезопасным делегированием почти бесконечны.

Ниже приведено описание риска, создаваемого разными типами делегирования:

  • Неограниченное делегирование: любая служба может быть злоупотреблять, если одна из записей делегирования учитывается.
  • Ограниченное делегирование: ограниченные сущности могут быть злоупотреблять, если одна из записей делегирования учитывается.
  • Ограниченное делегирование на основе ресурсов (RBCD) — ограниченные сущности на основе ресурсов могут быть злоупотреблять, если сама сущность учитывается.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемым действием, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие сущности контроллера, отличные от домена, настроены для небезопасного делегирования Kerberos.

    Небезопасная оценка безопасности делегирования Kerberos.

  2. Примите соответствующие меры для тех пользователей, которые подвергаются риску, например удаление их неуправляемого атрибута или изменение его на более безопасное ограниченное делегирование.

Примечание.

Хотя оценки обновляются почти в режиме реального времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока не будет отмечено как завершено.

Серверы

Используйте исправление, соответствующее типу делегирования.

Неограниченное делегирование

Отключите делегирование или используйте один из следующих типов ограниченного делегирования Kerberos (KCD):

  • Ограниченное делегирование: ограничивает, какие службы эта учетная запись может олицетворить.

    1. Выберите Доверять компьютеру делегирование указанных служб.

      Исправление делегирования Kerberos без ограничений.

    2. Укажите службы, для которых эта учетная запись может представлять делегированные учетные данные.

  • Ограниченное делегирование на основе ресурсов: ограничивает, какие сущности могут олицетворить эту учетную запись.
    Ограниченное делегирование Kerberos на основе ресурсов настраивается с помощью PowerShell. Командлеты Set-ADComputer или Set-ADUser используются в зависимости от того, является ли олицетворение учетной записью компьютера или учетной записью пользователя или учетной записью службы.

Ограниченное делегирование

Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из служб, в которых затронутая учетная запись может представлять делегированные учетные данные.

Исправление ограниченного делегирования Kerberos.

Ограниченное делегирование на основе ресурсов (RBCD)

Просмотрите конфиденциальных пользователей, перечисленных в рекомендациях, и удалите их из ресурса. Дополнительные сведения о настройке RBCD см. в разделе Настройка ограниченного делегирования Kerberos (KCD) в доменных службах Microsoft Entra.

Следующие шаги