安全评估:不安全的 Kerberos 委派
什么是 Kerberos 委派?
Kerberos 委派是一种委派设置,允许应用程序请求最终用户访问权限凭证以代表发起用户访问资源。
不安全的 Kerberos 委派会给组织带来什么风险?
不安全的 Kerberos 委派使实体能够将你模拟为任何其他选定的服务。 例如,假设你有一个 IIS 网站,并且应用程序池帐户配置为不受约束的委派。 IIS 网站还启用了 Windows 身份验证,允许本机的 Kerberos 身份验证,并且该网站使用后端 SQL Server 处理业务数据。 使用你的域管理员帐户,你可以浏览到 IIS 网站并对其进行身份验证。 该网站使用不受约束的委派可以从域控制器获取 SQL 服务的服务票证,并以你的名义进行。
Kerberos 委派的主要问题是,你需要信任应用程序总是能做正确的操事情。 恶意行为者反而可以强制应用程序做错误的事情。 如果你以域管理员的身份登录,网站可以创建一个它想要的任何其他服务的票证(以你,域管理员的身份)。例如,站点可以选择一个域控制器,并对企业管理员组进行更改。 同样,该网站可以获取 KRBTGT 帐户的哈希,或者从你的人力资源部门下载一个有趣的文件。 风险显而易见,不安全委派的可能性几乎无穷无尽。
以下是对不同委派类型带来的风险的描述:
- 不受约束的委派:如果任何服务的委派项敏感,则任何服务都可能被滥用。
- 约束委派:如果约束实体的委派项敏感,则可能会被滥用。
- 基于资源的约束委派 (RBCD):如果实体本身敏感,则基于资源的约束实体可能会被滥用。
如何使用此安全评估?
请查看 https://security.microsoft.com/securescore?viewid=actions 中的建议操作,以发现为不安全 Kerberos 委派配置了哪些非域控制器实体。
对那些有风险的用户采取适当的操作,例如移除其不受约束的属性或将其更改为更安全的约束委派。
注意
虽然评估会近实时更新,但分数和状态只会每隔 24 小时更新一次。 虽然受影响实体的列表会在实施建议后的几分钟内更新,但可能需要一段时间才能将状态标记为已完成。
补救
使用适合你的委派类型的修正。
非约束委派
停用委派或使用以下 Kerberos 约束委派 (KCD) 类型之一:
约束委派: 限制此帐户可以模拟的服务。
选中仅信任此计算机来委派指定的服务。
指定可以由此帐户提供委派凭据的服务。
基于资源的约束委派:限制哪些实体可以模拟此帐户。
可使用 PowerShell 配置基于资源的 KCD。 可以使用 Set-ADComputer 或 Set-ADUser cmdlet,具体取决于模拟帐户是计算机帐户还是用户帐户/服务帐户。
约束的委派
检查建议中列出的敏感用户,并将其从受影响的帐户可以向其提供委派凭证的服务中移除。
基于资源的约束委派 (RBCD)
查看建议中的敏感用户,并将其从资源中删除。 有关配置 RBCD 的详细信息,请参阅在 Microsoft Entra 域服务中配置 Kerberos 约束委派 (KCD)。