Назад | Перейти на главную страницу

Ограниченное делегирование Kerberos контроллерам домена

Настроить:

Функциональный уровень леса: Windows 2003
Все контроллеры домена - Windows 2003, 64-разрядная версия SP2

Требования:

Сервер Citrix хочет использовать делегирование Kerberos для целей единого входа. Они хотят создать ограниченное делегирование Kerberos с сервера презентаций Citrix на локальные контроллеры домена для служб CIFS и LDAP.

Я опасаюсь, что это позволит администраторам на сервере презентаций выдавать себя за администраторов домена для службы LDAP на контроллерах домена и вносить несанкционированные изменения в AD.

Вопросы:

  1. Верно ли мое предположение?
  2. Если да, то насколько легко это было бы сделать?
  3. Каковы операционные последствия разрешения такого делегирования для обслуживания локальных контроллеров домена на этом сайте? (У нас более 200 контроллеров домена по всему миру и 10 контроллеров домена на сайте, где требуется делегирование)

Вы можете снизить риск, установив флажок на вкладке учетной записи> параметры учетной записи для «Учетная запись является конфиденциальной и не может быть делегирована» для ваших привилегированных административных учетных записей.

Ограниченное делегирование - несколько необычная и неправильно понимаемая функция Active Directory. Это не ново; он существует с Windows 2003.

До «ограниченного» делегирования делегирование возможности олицетворять другую учетную запись пользователя для выполнения функций от их имени имело минимальные «ограничения». Это означает, что с неограниченным делегированием, если у вас есть токен «уровня делегирования» для другой учетной записи пользователя, вы можете олицетворять эту учетную запись и получать доступ к любому ресурсу на любом сервере в качестве этой учетной записи. Как вы понимаете, это было нежелательно в средах с повышенным уровнем безопасности. Маркеры обычно становятся доступными, когда пользователь входит в систему, вводя свои учетные данные или используя встроенную проверку подлинности Windows. При использовании аутентификации Windows вам понадобится Kerberos для получения токена «уровня делегирования», а не для олицетворения или токена идентификации. IIS предоставляет токены пользователей и упрощает использование этой функции.

Ограниченное делегирование устраняет риски следующими способами:

  • служба, олицетворяющая учетную запись, может получать доступ только к ресурсам в домене, где находятся олицетворяющая учетная запись и службы (обычно это домен «ресурсов»). Он не может получить доступ к ресурсам в доверенных доменах. (Хотя он может выдавать себя за любую учетную запись из любого доверенного домена).
  • ограничение серверов, к которым может получить доступ служба, выдающая себя за другое лицо;
  • дальнейшее ограничение объема путем указания типа службы (CIFS, LDAP, SQL и т. д.).

Однако есть еще один поворот: с помощью ограниченного делегирования можно создать токен и олицетворять любую учетную запись пользователя в любом домене, и этой учетной записи не нужно сначала вводить учетные данные, как при неограниченном делегировании. Для этого нетривиально написать всего несколько строк кода .NET, предоставив соответствующие разрешения, а сервер, на котором выполняется олицетворение, настроен правильно.

Так что да, это мощный инструмент, поэтому Microsoft предоставляет страшные предупреждения в документации по темам делегирования. Но если этот флажок установлен, привилегированные учетные записи не могут быть олицетворены.

Обратите внимание, что в некоторых сценариях подверженность риску является вопросом перспективы. Некоторые предпочли бы возможность делегирования и олицетворения передаче паролей за границу безопасности. В среде, где нет паролей (например, с некоторыми смарт-картами), олицетворение и делегирование могут быть одним из немногих способов практического выполнения определенных функций.

Я не использовал эту функцию Citrix, но если можно использовать глобальный каталог (GC: // вместо LDAP: //, порт 3268/3269 вместо 389/636), это может еще больше снизить риск, потому что Глобальный каталог доступен только для чтения. Им не нужно обновлять AD, если только аутентификация.

Это то, что я получил от службы поддержки Microsoft.

Неограниченное делегирование - сервер должен иметь билет от пользователя для выдачи себя за другое лицо, он не может получить учетные данные для любого пользователя, не зная пароль или не получив предварительно билет.

Только ограниченный / kerberos - Сервер должен иметь билет от пользователя для выдачи себя за другое лицо, он не может получить учетные данные для любого пользователя, не зная пароль или не получив сначала билет.

Ограниченный переход / переход по протоколу - Сервер может выдавать себя за любого пользователя, не зная его пароля или не получив вначале тикета (САМЫЙ РИСК).

Единственное эффективное смягчение последствий на уровне AD - включить флаг «учетная запись чувствительна, не делегировать» для пользователей с высокими привилегиями, таких как администраторы домена.

Подробнее:

http://msdn.microsoft.com/en-us/magazine/cc163500.aspx

и

http://technet.microsoft.com/en-us/library/cc738207(WS.10).aspx