(Обзор ограниченного делегирования Kerberos)
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
В этом обзорном разделе для ИТ-специалистов описаны новые возможности ограниченного делегирования Kerberos в Windows Server 2012 R2 и Windows Server 2012.
Описание компонента
Ограниченное делегирование Kerberos было впервые представлено в Windows Server 2003 как более безопасное делегирование, которое может использоваться службами. При настройке ограниченного делегирования происходит ограничение количества служб, к которым может обращаться указанный сервер от имени пользователя. При этом для настройки учетной записи домена для службы требуются привилегии администратора домена, а количество доменов для учетной записи ограничивается одним. В настоящее время интерфейсные службы не предназначены для интеграции только с службами в их домене.
В ранних версиях операционных систем если администратор домена настроил службу, у администратора службы не было возможности узнать, какие службы клиентской части делегируются принадлежащим им службам ресурсов. При этом все интерфейсные службы, которые можно делегировать службе ресурса, являлись потенциальной точкой атаки. Если сервер, на котором размещена интерфейсная служба, скомпрометирован и при этом он настроен для делегирования службам ресурсов, службы ресурсов также могут быть скомпрометированы.
В Windows Server 2012 R2 и Windows Server 2012 возможность настройки ограниченного делегирования для службы была передана администратору домена администратору службы. Таким образом администратор служб сервера может разрешить или запретить интерфейсные службы.
Подробные сведения об ограниченном делегировании, представленном в Windows Server 2003, см. в разделе Передача протокола и ограниченное делегирование Kerberos.
Реализация протокола Kerberos windows Server 2012 R2 и Windows Server 2012 включает расширения специально для ограниченного делегирования. Расширение Service for User to Proxy (S4U2Proxy) позволяет службе использовать билет службы Kerberos, благодаря которому пользователь получает билет службы из центра распространения ключей (KDC) для внутренней службы. Эти расширения позволяют настроить ограниченное делегирование в учетной записи серверной службы, которая может находиться в другом домене. Дополнительные сведения об этих расширениях см. в разделе [MS-SFU]: расширения протокола Kerberos: служба для спецификации протокола ограниченного делегирования пользователей и ограниченного делегирования в библиотека MSDN.
Практические приложения
Ограниченное делегирование предоставляет администраторам служб возможность указывать и применять границы доверия приложений путем ограничения область, где службы приложений могут действовать от имени пользователя. Администраторы служб могут указывать в настройках учетные записи служб интерфейса, которые будут делегированы во внутренние службы.
Поддерживая ограниченное делегирование между доменами в Windows Server 2012 R2 и Windows Server 2012, интерфейсные службы, такие как Сервер Microsoft Internet Security и Ускорение (ISA), Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) и Microsoft SharePoint Server, можно настроить использование ограниченного делегирования для проверки подлинности на серверах в других доменах. Это обеспечивает поддержку передачи запросов между доменами с помощью существующей инфраструктуры Kerberos. Ограниченным делегированием Kerberos могут управлять администраторы домена или администраторы служб.
Основанное на ресурсах ограниченное делегирование в доменах
Ограниченное делегирование Kerberos можно использовать для предоставления ограниченного делегирования, когда служба интерфейса и службы ресурсов находятся в разных доменах. Администраторы служб могут настроить новое делегирование, указав в домене учетные записи служб интерфейса, которые будут выполнять олицетворение пользователей в объектах учетных записей служб ресурсов.
Какой эффект дает это изменение?
С помощью поддержки ограниченного делегирования в доменах можно, вместо неограниченного делегирования, настроить службы на использование ограниченного делегирования для проверки подлинности при обращении к серверам в других доменах. Это обеспечивает поддержку проверки подлинности для передачи запросов между доменами с помощью существующей инфраструктуры Kerberos. При этом не возникает необходимости доверять службам интерфейса делегирование другим службам.
Это также сдвигает решение о том, должен ли сервер доверять источнику делегированного удостоверения от делегированного администратора домена к владельцу ресурса.
Что работает иначе?
Изменение базового протокола позволяет осуществлять делегирование между доменами. Реализация протокола Kerberos для Windows Server 2012 R2 и Windows Server 2012 включает расширения для протокола Service for User to Proxy (S4U2Proxy). Данный набор расширений для протокола Kerberos позволяет службе использовать билет службы Kerberos, благодаря которому пользователь получает билет службы из центра распространения ключей (KDC) для внутренней службы.
Сведения о реализации этих расширений см. в разделе [MS-SFU]: расширения протокола Kerberos: служба для спецификации протокола пользователей и ограниченного делегирования в MSDN.
Дополнительные сведения об основной последовательности сообщений для делегирования Kerberos с помощью пересланного билета предоставления билета (TGT) в сравнении с расширениями Service for User (S4U) см. в разделе Обзор протокола 1.3.3 документа «[MS-SFU]. Расширения протокола Kerberos: S4U и спецификация протокола ограниченного делегирования».
Последствия безопасности ограниченного делегирования на основе ресурсов
Ограниченное делегирование на основе ресурсов позволяет управлять делегированием в руках администратора, который владеет доступом к ресурсу. Он зависит от атрибутов службы ресурсов, а не доверенной службы для делегирования. В результате ограниченное делегирование на основе ресурсов не может использовать бит Trusted-to-Authenticate-for-Делегирование, который ранее управлял переходом протокола. KDC всегда разрешает переход протокола при выполнении ограниченного делегирования на основе ресурсов, как будто бит был задан.
Так как KDC не ограничивает переход протокола, были введены два новых известных идентификатора SID для предоставления этому управлению администратору ресурсов. Эти идентификаторы безопасности определяют, произошла ли переход протокола и может использоваться со стандартными списками управления доступом для предоставления или ограничения доступа по мере необходимости.
| SID | Description |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Идентификатор безопасности, который означает, что удостоверение клиента утверждается центром проверки подлинности на основе подтверждения владения учетными данными клиента. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Идентификатор безопасности, который означает, что удостоверение клиента утверждается службой. |
Серверная служба может использовать стандартные выражения ACL для определения способа проверки подлинности пользователя.
Как настроить ограниченное делегирование на основе ресурсов?
Чтобы настроить службу ресурсов для предоставления доступа к службе интерфейса от имени пользователя, используйте командлеты Windows PowerShell.
Чтобы получить список субъектов, используйте командлеты Get-ADComputer, Get-ADServiceAccount и Get-ADUser с параметром Properties PrincipalsAllowedToDelegateToAccount .
Чтобы настроить службу ресурсов, используйте командлеты New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount и Set-ADUser с параметром PrincipalsAllowedToDelegateToAccount.
Требования к программному обеспечению
Ограниченное делегирование на основе ресурсов можно настроить только на контроллере домена под управлением Windows Server 2012 R2 и Windows Server 2012, но может применяться в лесу смешанного режима.
Необходимо применить следующее исправление ко всем контроллерам домена под управлением Windows Server 2012 в доменах учетных записей пользователей на пути к рефералу между интерфейсными и внутренними доменами, работающими выше Windows Server: ограниченное делегирование на основе ресурсов KDC_ERR_POLICY сбоем в средах с контроллерами домена на основе Windows Server 2008 R2 (https://support.microsoft.com/en-gb/help/2665790/resource-based-constrained-delegation-kdc-err-policy-failure-in-enviro).