Kerberos 委派的風險

我一直在花費數小時試圖學習和理解 IIS 7.5 中的 Windows 身份驗證、Kerberos、SPN 和約束委派。我只是不明白的一件事是為什麼為管理員、首席執行官等啟用授權（即不禁用敏感帳戶的授權）是“有風險的”。有人可以簡單地向我解釋一下嗎？請針對 Intranet 環境建構您的答案。

我的理由是它不應該是一個問題，因為委託只是允許前端 Web 伺服器，例如，在與其他伺服器通信時代表 Windows Authenticated 人行事。如果這個人有權訪問，他們有權訪問，我不明白為什麼這應該是一個問題。

請原諒我的無知。我主要是一名開發人員，但我的公司這些天執行非常精簡，我也被迫戴上伺服器管理員的帽子……不幸的是，它仍然不太適合，哈哈。

兩個例子：

1. 約束委派無需使用者憑據或身份驗證令牌即可啟用模擬。例如，請參閱此答案。
2. 在更典型的肉和土豆無約束委派場景中，無論是 Windows 集成身份驗證還是表單身份驗證，對使用者的身份驗證令牌進行委派訪問都是非常強大的。從字面上看，這意味著令牌可用於模擬該使用者訪問任何網路資源。參與該過程的任何人，例如開發人員，都可以以邪惡的方式使用它來獲得未經授權的訪問。

在這兩個範例中，如果選中“帳戶敏感且無法委派”複選框，則這些都不是安全問題。也可以在這些功能確實存在但受到嚴格控制的情況下建構系統/功能。

應該為管理帳戶選中該框，例如 Enterprise Admins 組的成員，因為（希望）這些帳戶很少需要使用需要模擬的應用程序。對於可以訪問敏感資訊的高級管理人員，例如 CIO、COO、財務/財務主管等，這也是一個好主意。

因此，最重要的是，微軟提供該複選框和隨附的警告是有充分理由的，除非可以證明特定場景沒有不良風險暴露或某些補償控制，否則不應忽視或掉以輕心。這通常涉及由一些不參與應用程序或系統的實際實施或開發的合格人員進行審查。

引用自：https://serverfault.com/questions/447283