Delega non vincolata di Kerberos per l'utente

2

Ho notato che esiste un'opzione per impostare "Fidati di questo utente per la delega a qualsiasi servizio" che può essere impostato per gli utenti del servizio. Ho letto molto sulla delega non vincolata per quanto riguarda i computer, ma non ho visto utenti menzionati da nessuna parte.

Qualcuno può chiarire cosa fa questo rispetto all'impostazione di questo per un computer? Capisco che con un computer, ad esempio un'app Web, il server possa utilizzare qualsiasi ticket utente che si connette a esso e delegarlo al server DB oa qualsiasi altro server (quando si parla di delega non vincolata).

Ma cosa succede nel contesto di un utente che ha lo stesso diritto? L'utente può semplicemente richiedere il ticket di qualsiasi utente e delegarlo? In che modo l'utente ottiene l'accesso ai biglietti in primo luogo e cosa è necessario per impersonare gli altri utenti? Solo un biglietto TGT esportato?

Grazie mille!

    
posta ptr0x01 17.10.2018 - 11:22
fonte

2 risposte

1

Quando si esegue la delega con vincoli Kerberos (o qualsiasi cosa pre- Delega basata su risorse ) su Windows, si assegnano i diritti di delega all'identità del processo che accetta i ticket di kerberos dall'hop in ingresso.

Quindi, in breve, se il processo è in esecuzione come dominio utente , quell'utente richiede la delega abilitata. Se è in esecuzione come un'identità di tipo di sistema, lo fa il computer. Tuttavia, è sempre necessario Limitare la delega o utilizzare il modello di delega basato su risorse più recente (in cui anziché identificare gli SPN back-end, si identificano le identità front-end autorizzate a delegare all'identità del servizio di destinazione dall'identità del servizio di destinazione).

La delega

non vincolata è una cattiva idea - potrebbe essere considerata una soluzione di stopgap in Windows 2000 che ha ottenuto rapidamente vincoli in Windows Server 2003. Permette la rappresentazione di qualsiasi entità qualificata del servizio (leggi: Utente o computer) a un altro servizio, senza restrizioni. Ottieni il ticket di qualcuno, fai tutto ciò che possono fare - quindi il controllo di un set di servizi con delega non vincolata significava il controllo di qualsiasi utente che si connette.

Per le applicazioni Web IIS, che in genere indica l'account del pool di applicazioni, l'identità di base (rappresentazione non client-client) dei processi w3wp.exe associati a tale pool di applicazioni. Se il pool di app è in esecuzione come LocalSystem (non farlo), Servizio locale , Servizio di rete o ApplicationPoolIdentity , quindi l'identità utilizzata per decodificare i ticket e la delega di Curb è l'account del computer. (Un paio di altre avvertenze come UseAppPoolCredential = true o UseKernelMode = false potrebbe anche causare l'utilizzo di un'identità utente non personalizzata per provare a decodificare un ticket, ma è fuori ambito.)

A qualsiasi preside di sicurezza possono essere assegnati i diritti di delega. Fornendo a qualsiasi oggetto utente un nome principale del servizio (SPN - use SetSPN.exe), che i computer hanno per impostazione predefinita (HOST / nomecomputer) abiliterà la scheda Delega in DSA.msc.

Un'eccezione a quanto sopra è Account di servizio gestito di gruppo (gMSAs), che dovrebbe essere la prima scelta per qualsiasi nuovo servizio che utilizza un'identità di dominio per eseguire un servizio, in quanto gestisce autonomamente la sua complessa password, impedendo una facile gestione a lungo termine. attacchi con password sull'account stesso.

    
risposta data 16.12.2018 - 23:51
fonte
0

In particolare è destinato agli account utente che vengono utilizzati come account di servizio, anziché utilizzare un account computer.

    
risposta data 17.10.2018 - 22:40
fonte

Leggi altre domande sui tag