Riscos da Delegação Kerberos

Navegue suas respostas
8

Estou gastando horas e horas tentando aprender e entender a Autenticação do Windows, o Kerberos, os SPNs e a Delegação restrita no IIS 7.5. Uma coisa que simplesmente não entendo é por que é "arriscado" deixar a delegação ativada (ou seja, não desabilitar a delegação de contas confidenciais) para administradores, CEOs, etc. Alguém pode me explicar isso em termos simples? Por favor, enquadre sua resposta em relação a um ambiente de intranet.

Meu raciocínio é que isso não deve ser uma preocupação, porque a delegação simplesmente permite que um servidor Web front-end, por exemplo, aja em nome da pessoa autenticada pelo Windows ao se comunicar com outros servidores. Se a pessoa tiver acesso, ela tem acesso, não entendo por que isso deve ser uma preocupação.

Por favor, perdoe minha ignorância. Eu sou principalmente um desenvolvedor, mas a minha empresa está correndo muito magra estes dias e eu sou forçado a usar o chapéu de administrador do servidor também ... infelizmente, ainda não se encaixa muito bem, lol.

    
por Chiramisu 10.11.2012 / 00:18

2 respostas

7

Dois exemplos:

  1. A delegação restrita permite a representação sem as credenciais do usuário ou o token de autenticação. Por exemplo, veja esta resposta .

  2. Em um cenário de delegação irrestrita mais comum, seja autenticação integrada do Windows ou autenticação de formulários, o acesso delegação ao token de autenticação do usuário é muito poderoso. Isso significa literalmente que o token pode ser usado para representar esse usuário para acessar qualquer recurso de rede. Qualquer pessoa envolvida nesse processo, como um desenvolvedor, pode usá-lo de maneira nefasta para obter acesso não autorizado.

Nos dois exemplos, se a caixa estiver marcada para "a conta é confidencial e não pode ser delegada", esses não são problemas de segurança. Também é possível arquitetar um sistema / recurso onde esses recursos existem, mas são rigidamente controlados.

Essa caixa deve ser marcada para contas administrativas, como membros do grupo Administradores de Empresa, porque (esperançosamente) essas contas raramente precisarão usar aplicativos que exijam representação. Também é uma boa ideia para executivos seniores que tenham acesso a informações confidenciais, como um CIO, COO, chefe de Finanças / Tesouraria, etc.

Portanto, a questão é que a Microsoft forneceu essa caixa de seleção e o aviso de acompanhamento por uma boa razão, e ela não deve ser descartada ou ignorada, a menos que possa ser demonstrado que um cenário específico não tem exposição a riscos indesejáveis ou controle de compensação. Isso geralmente envolve a verificação por parte de pessoas qualificadas que não estão envolvidas na implementação ou desenvolvimento real de um aplicativo ou sistema.

    
por 10.11.2012 / 01:00
2

Eu configurei milhares de clientes com delegação a maior parte dos sem restrições. Acho importante observar que, se você não confiar em seu aplicativo (digamos, implantado no IIS) ou se estiver fornecendo as credenciais de sua conta de serviço delegada para que outros usem livremente, a delegação restrita provavelmente será uma boa ideia. No entanto, se você não espera que alguém tenha a capacidade de reescrever seu aplicativo, mantenha as credenciais de sua conta de serviço seguras e confia que seus aplicativos só irão delegar para o (s) serviço (s) para o qual foram projetados. geralmente não é nada para se preocupar. Eu vi alguns clientes "conscientes da segurança" se concentrar muito em questões como esta, enquanto seus recursos poderiam ser melhor gastos trabalhando em ameaças reais de segurança ...

    
por 09.01.2014 / 16:34

Tags

Por que algumas conexões expiram e outras são recusadas? Não é possível atribuir permissões de grupo ao ICACLS no Windows Server 2012