Розуміння делегування Kerberos в Active Directory служби Windows Server

Делегування використовується, коли сервер чи обліковий запис служби потребують себе, щоб представити себе іншим користувачем. Наприклад, серверні веб-сервери представляють себе користувачами під час доступу до бази даних, що надають бекенд, забезпечуючи безперебійний доступ до даних, яким користувачі можуть переглядати або редагувати. Active Directory (AD) забезпечує делегацію для подібних сценаріїв.

Нестримна делегація є ризикованою

Microsoft додала необмежену делегацію до Active Directory у Windows Server 2000. Якщо на сервері налаштовано необмежену делегування, вона може себе представити підключеним користувачам, оскільки їхній квиток, що надає квиток (TGT), розміщується в службовому квитку, якщо ім'я головного сервісу (SPN) включено в запит сервера надання квитків (TGS). SPN визначають, які служби можуть працювати під певним обліковим записом користувача або комп'ютера.

Зловмисники можуть скомпрометувати облікові дані, коли налаштована необмежена делегація. Уявіть ситуацію, коли адміністратор домену використовує веб-сайт IIS, на якому встановлено обліковий запис пулу додатків для необмеженого делегування. Якщо на веб-сайті ввімкнено автентифікацію Windows, він зможе отримати службовий квиток від контролера домену та підтвердити автентифікацію на будь-яку службу, яка йому подобається як адміністратор домену. Хоча ця послуга, ймовірно, має бути базою даних, якщо веб-сайт чи база даних порушені, це може бути натомість шкідливим додатком або навіть контролером домену. Після підключення до контролера домену пароль облікового запису KRBTGT можна змінити або користувач міг додати себе до групи Enterprise Admins, дозволяючи зловмисному актору володіти лісом AD.

Обмежена делегація

Введене в Windows Server 2003, обмежене делегування дозволяє системним адміністраторам обмежувати послуги, до яких може бути підключений іменний обліковий запис. Отже, у описаному нами сценарії вище, реєстрація облікового запису адміністратора домену на веб-сайті IIS може бути обмежена до доступу до певних служб. І хоча це не ідеальне рішення, воно менш ризикове, ніж необмежена делегація.

Але обмежену делегацію важко здійснити, оскільки вона покладається на основні імена служби (SPN), щоб визначити, які служби можуть отримувати делеговані облікові дані. Системні адміністратори повинні зареєструвати SPN на принципі безпеки, що запускає додаток на передньому рівні, і переконайтесь, що в лісі немає дублікатів SPN. Оскільки обмежена делегація керується на серверах інтерфейсу, адміністратори сервера бекенда втрачають контроль над тим, хто отримує доступ до своїх ресурсів. Крім того, права адміністратора домену потрібні для управління обмеженою делегуванням, додаючи ще один рівень адміністративної складності. Обмежена делегація також обмежена принципами безпеки в тому самому домені, тобто немає міждоменного та міжлісового простору.

Обмежена делегація на основі ресурсів

Обмежене делегування на основі ресурсів у Windows Server 2012 покращує модель обмеженого делегування за рахунок усунення залежності від SPN, потреби в правах адміністратора домену, дозволяє власнику ресурсів контролювати делегування та забезпечує делегування між доменами. Він працює на облікових записах комп'ютерів, облікових записів користувачів та облікових записів послуг.

Замість використання дозволеного списку SPN, Windows Server 2012 управляє делегуванням, використовуючи дескриптори безпеки. Адміністратори сервера Backend визначають, які директори безпеки можуть запитувати квитки на Kerberos для іншого користувача. Коли сервер резервного сервера отримує запит від сервера пришвидшеного доступу про надання доступу від імені іншого користувача, Центр розподілу ключів AD (KDC) перевіряє дескриптор безпеки в атрибуті msDS-AllowedToActOnBehalfOfOtherIdentity головного захисту, який працює за допомогою сервера бекенда, і якщо він відповідає дескриптору, під яким працює служба фронтену, доступ надається. Управління обмеженою делегацією на основі ресурсів управляється за допомогою Windows PowerShell.

На відміну від обмеженої делегації, обмежена делегація на основі ресурсів працює незалежно від функціонального рівня домену. Але у вас повинен бути принаймні один контролер домену під керуванням Windows Server 2012 або пізнішої версії в тому ж домені, що і сервер frontend, і один у тому ж домені, що і сервер резервного сервера. І сервер інтерфейсу повинен працювати під керуванням Windows Server 2012 або пізнішої версії.

Забезпечення Active Directory

Ви повинні перевірити, чи не використовується обмежена делегація у вашому домені. Microsoft має PowerShell сценарій в TechNet, який можна використовувати для пошуку облікових записів, створених для необмеженого делегування. Сценарій знаходить акаунти користувачів, облікові записи комп’ютерів та керовані облікові записи служб, які налаштовані для всіх типів делегування.

Якщо ви знайдете акаунти, які використовують необмежену делегування, це може бути настільки ж просто, як і зміна типу делегації. Але якщо ви вирішили використовувати обмежене або на основі ресурсів обмежене делегування, вам потрібно ретельно перевірити, чи працює ваш додаток. Не всі програми грають добре із обмеженою делегацією. Якщо відходити від нестримного делегування не є можливим, ви можете зробити кілька речей, щоб зменшити ризик.

Облікові записи можуть бути індивідуально налаштовані в користувачах та комп'ютерах Active Directory (ADUC) для блокування всіх видів делегування за допомогою прапорця "Обліковий запис є чутливим і не може бути делегований". Ви можете встановити цей прапор для чутливих облікових записів, наприклад адміністраторів домену. Чутливі облікові записи, які додаються до групи Захищених користувачів, також не можуть використовувати делегування Kerberos. Але для аутентифікації NTLM та кешовані логотипи також заблоковані для членів цієї групи. Для отримання додаткової інформації про захищених користувачів див Захистіть привілейовані повноваження в Windows Server 2012 R2 за допомогою групи захищених користувачів на Петрі. Силоси аутентифікації можуть забезпечити додатковий захист, обмеживши пристрої, на які учасники можуть мати автентифікацію. Перевіряти Обмежте привілейовані облікові записи за допомогою силосів аутентифікації в Windows Server 2012 R2 на Петрі для більш детальної інформації про аутентифікаційні силоси.

Microsoft пропонує дозволити Kerberos проводити аудит в рамках розширеної політики аудиту всіх контролерів домену та контролювати квитки з делегованих облікових записів на несанкціоновані служби. Нарешті, встановіть правила вихідного брандмауера на серверах, використовуючи необмежений делегований обліковий запис.

Повідомлення Розуміння делегування Kerberos в Active Directory служби Windows Server вперше з'явився на Петрі.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.