Valutazione della sicurezza: delega Kerberos non protetta
Che cos'è la delega Kerberos?
La delega Kerberos è un'impostazione di delega che consente alle applicazioni di richiedere le credenziali di accesso dell'utente finale per accedere alle risorse per conto dell'utente di origine.
Quale rischio comporta la delega Kerberos non protetta a un'organizzazione?
La delega Kerberos non protetta offre a un'entità la possibilità di rappresentare l'utente in qualsiasi altro servizio scelto. Si supponga, ad esempio, di avere un sito Web IIS e che l'account del pool di applicazioni sia configurato con delega non vincolata. Nel sito Web IIS è abilitata anche l'autenticazione di Windows, che consente l'autenticazione Kerberos nativa e il sito usa un'istanza back-end di SQL Server per i dati aziendali. Con l'account domain Amministrazione, passare al sito Web IIS ed eseguire l'autenticazione. Il sito Web, usando la delega non vincolata, può ottenere un ticket di servizio da un controller di dominio al servizio SQL e farlo nel nome.
Il problema principale con la delega Kerberos è che è necessario considerare attendibile l'applicazione per eseguire sempre la cosa giusta. Gli attori malintenzionati possono invece forzare l'applicazione a fare la cosa sbagliata. Se si è connessi come amministratore di dominio, il sito può creare un ticket per qualsiasi altro servizio che desidera, fungendo da amministratore del dominio. Ad esempio, il sito potrebbe scegliere un controller di dominio e apportare modifiche al gruppo di amministratori dell'organizzazione. Analogamente, il sito potrebbe acquisire l'hash dell'account KRBTGT o scaricare un file interessante dal reparto risorse umane. Il rischio è chiaro e le possibilità con la delega non sicura sono quasi infinite.
Di seguito è riportata una descrizione del rischio rappresentato da diversi tipi di delega:
- Delega non vincolata: qualsiasi servizio può essere abusato se una delle voci di delega è sensibile.
- Delega vincolata: le entità vincolate possono essere usate in modo improprio se una delle voci di delega è sensibile.
- Delega vincolata basata sulle risorse (RBCD): le entità vincolate basate su risorse possono essere usate in modo improprio se l'entità stessa è sensibile.
Ricerca per categorie usare questa valutazione della sicurezza?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actions per individuare le entità del controller non di dominio configurate per la delega Kerberos non protetta.
Intervenire in modo appropriato su tali utenti a rischio, ad esempio rimuovere l'attributo non vincolato o modificarlo in una delega vincolata più sicura.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Mentre l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.
Correzione
Usare la correzione appropriata per il tipo di delega.
Delega senza vincoli
Disabilitare la delega o usare uno dei tipi di delega vincolata Kerberos seguenti:
Delega vincolata: limita i servizi che l'account può rappresentare.
Selezionare Computer attendibile per la delega solo ai servizi specificati.
Specificare i servizi a cui questo account può presentare le credenziali delegate.
Delega vincolata basata sulle risorse: limita le entità che possono rappresentare questo account.
È possibile configurare la delega vincolata Kerberos basata sulle risorse usando PowerShell. Usare i cmdlet Set-ADComputer o Set-ADUser , a seconda che l'account di rappresentazione sia un account computer o un account utente/account del servizio.
Delega vincolata
Esaminare gli utenti sensibili elencati nei consigli e rimuoverli dai servizi a cui l'account interessato può presentare le credenziali delegate.
Delega vincolata basata su risorse (RBCD)
Esaminare gli utenti sensibili elencati nei consigli e rimuoverli dalla risorsa. Per altre informazioni sulla configurazione di RBCD, vedere Configurare la delega vincolata Kerberos in Microsoft Entra Domain Services.