Quando si esegue la delega con vincoli Kerberos (o qualsiasi cosa pre- Delega basata su risorse ) su Windows, si assegnano i diritti di delega all'identità del processo che accetta i ticket di kerberos dall'hop in ingresso.
Quindi, in breve, se il processo è in esecuzione come dominio utente , quell'utente richiede la delega abilitata. Se è in esecuzione come un'identità di tipo di sistema, lo fa il computer. Tuttavia, è sempre necessario Limitare la delega o utilizzare il modello di delega basato su risorse più recente (in cui anziché identificare gli SPN back-end, si identificano le identità front-end autorizzate a delegare all'identità del servizio di destinazione dall'identità del servizio di destinazione).
La delega
non vincolata è una cattiva idea - potrebbe essere considerata una soluzione di stopgap in Windows 2000 che ha ottenuto rapidamente vincoli in Windows Server 2003. Permette la rappresentazione di qualsiasi entità qualificata del servizio (leggi: Utente o computer) a un altro servizio, senza restrizioni. Ottieni il ticket di qualcuno, fai tutto ciò che possono fare - quindi il controllo di un set di servizi con delega non vincolata significava il controllo di qualsiasi utente che si connette.
Per le applicazioni Web IIS, che in genere indica l'account del pool di applicazioni, l'identità di base (rappresentazione non client-client) dei processi w3wp.exe associati a tale pool di applicazioni. Se il pool di app è in esecuzione come LocalSystem (non farlo), Servizio locale , Servizio di rete o ApplicationPoolIdentity , quindi l'identità utilizzata per decodificare i ticket e la delega di Curb è l'account del computer. (Un paio di altre avvertenze come UseAppPoolCredential = true o UseKernelMode = false potrebbe anche causare l'utilizzo di un'identità utente non personalizzata per provare a decodificare un ticket, ma è fuori ambito.)
A qualsiasi preside di sicurezza possono essere assegnati i diritti di delega. Fornendo a qualsiasi oggetto utente un nome principale del servizio (SPN - use SetSPN.exe), che i computer hanno per impostazione predefinita (HOST / nomecomputer) abiliterà la scheda Delega in DSA.msc.
Un'eccezione a quanto sopra è Account di servizio gestito di gruppo (gMSAs), che dovrebbe essere la prima scelta per qualsiasi nuovo servizio che utilizza un'identità di dominio per eseguire un servizio, in quanto gestisce autonomamente la sua complessa password, impedendo una facile gestione a lungo termine. attacchi con password sull'account stesso.