Kerberos Constrained Delegation Overview

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

в этой обзорной статье для ит professional описываются новые возможности ограниченного делегирования Kerberos в Windows Server 2012 R2 и Windows Server 2012.

Описание компонента

Ограниченное делегирование Kerberos было впервые представлено в Windows Server 2003 как более безопасное делегирование, которое может использоваться службами. При настройке ограниченного делегирования происходит ограничение количества служб, к которым может обращаться указанный сервер от имени пользователя. При этом для настройки учетной записи домена для службы требуются привилегии администратора домена, а количество доменов для учетной записи ограничивается одним. В современных предприятиях службы внешнего интерфейса не предназначены для интеграции только с службами в своем домене.

В ранних версиях операционных систем если администратор домена настроил службу, у администратора службы не было возможности узнать, какие службы клиентской части делегируются принадлежащим им службам ресурсов. При этом все интерфейсные службы, которые можно делегировать службе ресурса, являлись потенциальной точкой атаки. Если сервер, на котором размещена интерфейсная служба, скомпрометирован и при этом он настроен для делегирования службам ресурсов, службы ресурсов также могут быть скомпрометированы.

в Windows Server 2012 R2 и Windows Server 2012 возможность настройки ограниченного делегирования для службы была передана администратору службы от администратора домена. Таким образом администратор служб сервера может разрешить или запретить интерфейсные службы.

Подробные сведения об ограниченном делегировании, представленном в Windows Server 2003, см. в разделе Передача протокола и ограниченное делегирование Kerberos.

реализация Windows Server 2012 R2 и Windows Server 2012 протокола Kerberos включает расширения, специально предназначенные для ограниченного делегирования. Служба для пользователя прокси (S4U2Proxy) позволяет службе использовать свой билет службы Kerberos, чтобы пользователь получил билет службы от центр распространения ключей (KDC) к серверной службе. Эти расширения позволяют настроить ограниченное делегирование для учетной записи серверной службы, которая может находиться в другом домене. Дополнительные сведения об этих расширениях см. в разделе [MS-SFU]. Расширения протокола Kerberos: S4U и спецификация протокола ограниченного делегирования в библиотеке MSDN.

Практическое применение

Ограниченное делегирование дает администраторам служб возможность указывать и обеспечивать границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Администраторы служб могут указывать в настройках учетные записи служб интерфейса, которые будут делегированы во внутренние службы.

благодаря поддержке ограниченного делегирования между доменами в Windows Server 2012 R2 и Windows Server 2012, интерфейсные службы, такие как Microsoft Internet Security and Acceleration (ISA) Server, microsoft Forefront Threat Management Gateway, microsoft Exchange Outlook Веб-доступ (OWA) и Microsoft SharePoint Server можно настроить для использования ограниченного делегирования для проверки подлинности на серверах в других доменах. Это обеспечивает поддержку передачи запросов между доменами с помощью существующей инфраструктуры Kerberos. Ограниченным делегированием Kerberos могут управлять администраторы домена или администраторы служб.

Основанное на ресурсах ограниченное делегирование в доменах

Ограниченное делегирование Kerberos можно использовать для предоставления ограниченного делегирования, когда служба интерфейса и службы ресурсов находятся в разных доменах. Администраторы служб могут настроить новое делегирование, указав в домене учетные записи служб интерфейса, которые будут выполнять олицетворение пользователей в объектах учетных записей служб ресурсов.

Какой эффект дает это изменение?

С помощью поддержки ограниченного делегирования в доменах можно, вместо неограниченного делегирования, настроить службы на использование ограниченного делегирования для проверки подлинности при обращении к серверам в других доменах. Это обеспечивает поддержку проверки подлинности для передачи запросов между доменами с помощью существующей инфраструктуры Kerberos. При этом не возникает необходимости доверять службам интерфейса делегирование другим службам.

Это также смещает решение о том, должен ли сервер доверять источнику делегированного удостоверения от администратора домена с делегированием к владельцу ресурса.

Что работает иначе?

Изменение базового протокола позволяет осуществлять делегирование между доменами. реализация Windows Server 2012 R2 и Windows Server 2012 протокола Kerberos включает в себя расширения протоколов служб для пользователей и прокси (S4U2Proxy). Данный набор расширений для протокола Kerberos позволяет службе использовать билет службы Kerberos, благодаря которому пользователь получает билет службы из центра распространения ключей (KDC) для внутренней службы.

Подробности о реализации данных расширений см. в разделе [MS-SFU]. Расширения протокола Kerberos: S4U и спецификация протокола ограниченного делегирования в библиотеке MSDN.

Дополнительные сведения об основной последовательности сообщений для делегирования Kerberos с помощью пересланного билета предоставления билета (TGT) в сравнении с расширениями Service for User (S4U) см. в разделе Обзор протокола 1.3.3 документа «[MS-SFU]. Расширения протокола Kerberos: S4U и спецификация протокола ограниченного делегирования».

Влияние ограниченного делегирования на основе ресурсов на безопасность

Ограниченное делегирование на основе ресурсов обеспечивает управление делегированием в руки администратора, владеющего ресурсом, к которому осуществляется доступ. Он зависит от атрибутов службы ресурсов, а не от доверенных для делегирования служб. В результате ограниченное делегирование на основе ресурсов не может использовать бит доверия "доверенный к проверке подлинности" для делегирования, который ранее управлял сменой протокола. KDC всегда разрешает переход по протоколу при выполнении ограниченного делегирования на основе ресурсов, как если бы бит был задан.

Поскольку KDC не ограничивает смену протоколов, были введены два новых хорошо известных идентификатора безопасности для предоставления этому элементу управления администратору ресурсов. Эти идентификаторы безопасности определяют, был ли выполнен переход по протоколу, и могут использоваться со стандартными списками управления доступом для предоставления или ограничения доступа по мере необходимости.

SID Описание
AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY
S – 1-18-1
Идентификатор безопасности, означающий, что удостоверение клиента подтверждается центром проверки подлинности на основе подтверждения принадлежности учетных данных клиента.
SERVICE_ASSERTED_IDENTITY
S – 1-18-2
Идентификатор безопасности, означающий, что удостоверение клиента подтверждается службой.

Серверная служба может использовать стандартные выражения ACL для определения способа проверки подлинности пользователя.

Как настроить ограниченное делегирование на основе ресурсов?

Чтобы настроить службу ресурсов для предоставления доступа к службе интерфейса от имени пользователя, используйте командлеты Windows PowerShell.

  • Чтобы получить список участников, используйте командлеты Get-ADComputer, Get-адсервицеаккаунти Get-ADUser с параметром PrincipalsAllowedToDelegateToAccount Properties .

  • Чтобы настроить службу ресурсов, используйте командлеты New-ADComputer, New-адсервицеаккаунт, New-ADUser, Set-ADComputer, Set-адсервицеаккаунти Set-ADUser с параметром PrincipalsAllowedToDelegateToAccount .

Требования к программному обеспечению

ограниченное делегирование на основе ресурсов можно настроить только на контроллере домена, работающем Windows Server 2012 R2 и Windows Server 2012, но можно применить в лесу в смешанном режиме.

необходимо применить следующее исправление ко всем контроллерам домена, на которых выполняется Windows Server 2012 в доменах учетных записей пользователей, на пути ссылок между внешними и внутренними доменами, работающими под управлением операционных систем, предшествующими Windows server: ограниченное делегирование на основе ресурсов KDC_ERR_POLICY сбой в средах с контроллерами домена на базе Windows server 2008 R2 ( https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro ).