Kerberos 約束委派給域控制器
設置:
林功能級別:Windows 2003
所有 DC - Windows 2003 64 位 SP2
要求:
Citrix 伺服器希望將 Kerberos 委派用於 SSO 目的。他們希望為 CIFS 和 LDAP 服務創建從 Citrix 展示伺服器到本地 DC 的 Kerberos 約束委派。
我擔心它會允許展示伺服器上的管理員針對 DC 上的 LDAP 服務冒充域管理員,並在 AD 中進行未經授權的更改。
問題:
- 我的假設正確嗎?
- 如果是,那麼做到這一點有多容易?
- 允許此類委派對維護該站點的本地 DC 有什麼操作影響?(我們在全球有 200 多個 DC,在需要委託的現場有 10 個 DC)
您可以通過為您的特權管理帳戶選中帳戶選項卡 > 帳戶選項中的“帳戶敏感且無法委派”複選框來降低風險。
約束委派是 Active Directory 的一些不尋常且被誤解的功能。這不是新的。它自 Windows 2003 以來一直存在。
在“受限”委派之前,委派模擬另一個使用者帳戶以代表他們執行功能的能力具有最小的“約束”。這意味著在無約束委派的情況下,如果您有另一個使用者帳戶的“委派級別”令牌,您可以模擬該帳戶並以該使用者帳戶的身份訪問任何伺服器上的任何資源。正如您可以想像的那樣,這在更高安全性的環境中是不可取的。令牌通常在使用者通過輸入其憑據或使用集成 Windows 身份驗證登錄時可用。如果使用 Windows 身份驗證,則需要 Kerberos 來獲取“委託級”令牌,而不是模擬或身份令牌。IIS 公開使用者令牌並使其易於使用此功能。
約束委派通過以下方式解決風險:
- 模擬帳戶的服務只能訪問模擬帳戶和服務所在域(通常是“資源”域)中的資源。它無法訪問受信任域中的資源。(儘管它可以模擬來自任何受信任域的任何帳戶)。
- 限制模擬服務可以訪問的伺服器;
- 通過指定服務類型(CIFS、LDAP、SQL 等)進一步限制範圍。
然而,另一個轉折點是:使用約束委派,可以為任何域中的任何使用者帳戶創建令牌並模擬任何使用者帳戶,並且該帳戶不需要首先輸入憑據,就像無約束委派一樣。只需編寫幾行 .NET 程式碼即可執行此操作,提供適當的權限並正確設置執行模擬的伺服器是微不足道的。
所以是的,這很強大,這就是為什麼微軟在授權主題的文件中提供了可怕的警告。但是選中該框後,就無法模擬特權帳戶。
請注意,在某些情況下,風險敞口是一個角度問題。有些人更喜歡委託和模擬能力,而不是在安全邊界之外傳輸密碼。如果在沒有密碼的環境中(例如使用某些智能卡),模擬和委託可能是少數以實際方式執行某些功能的方法之一。
我沒有使用 Citrix 的這個功能,但是如果可以使用全域目錄(GC:// 與 LDAP://,埠 3268/3269 而不是 389/636),這可以進一步降低風險,因為全域目錄是只讀的。如果僅進行身份驗證,他們應該不需要更新 AD。