delegação restrita de Kerberos para controladores de domínio

2

Configuração :

Nível funcional da floresta: Windows 2003
Todos os DCs - Windows 2003 64 bit SP2

Requisitos :

O servidor Citrix deseja usar a delegação do Kerberos para fins de SSO. Eles desejam criar uma delegação restrita de Kerberos do servidor de apresentação Citrix para DCs locais para serviços CIFS e LDAP.

Temo que isso permitiria que os administradores no servidor de apresentação representassem administradores de domínio em relação ao serviço LDAP nos DCs e fizessem alterações não autorizadas no AD.

Perguntas :

  1. A minha suposição é correta?
  2. Se sim, como seria fácil fazer isso?
  3. Qual é a repercussão operacional de permitir tal delegação na manutenção de DCs locais nesse site? (Nós temos 200+ DCs globalmente e 10 DCs no site onde a delegação é solicitada)
por KAPes 23.01.2012 / 19:16

2 respostas

2

Você pode reduzir o risco marcando a caixa na guia "> opções de conta para "A conta é confidencial e não pode ser delegada" para suas contas administrativas privilegiadas.

A delegação restrita é um recurso incomum e incompreendido do Active Directory. Não é novo; existe desde o Windows 2003.

Antes da delegação "restrita", a delegação da capacidade de representar outra conta de usuário para executar funções em seu nome tinha "restrições" mínimas. Isso significa que, com a delegação irrestrita, se você tiver um token de "nível de delegação" para outra conta de usuário, poderá representar essa conta e acessar qualquer recurso em qualquer servidor como essa conta de usuário. Isso era, como você pode imaginar, indesejável em ambientes de maior segurança. Os tokens geralmente são disponibilizados quando o usuário faz logon inserindo suas credenciais ou usando a autenticação integrada do Windows. Se estiver usando a autenticação do Windows, você precisará do Kerberos para obter um token de "nível de delegação", em oposição a uma representação ou token de identidade. O IIS expõe os tokens do usuário e facilita o uso desse recurso.

A delegação restrita abordou os riscos das seguintes formas:

  • o serviço representando a conta só pode acessar recursos no domínio em que a conta e os serviços representados estão localizados (geralmente um domínio "recurso"). Não pode acessar recursos em domínios confiáveis. (Embora possa representar qualquer conta de qualquer domínio confiável).
  • limitando os servidores aos quais o serviço de representação pode acessar;
  • limitando ainda mais o escopo, especificando o tipo de serviço (CIFS, LDAP, SQL, etc).

Outra reviravolta: com a delegação restrita, é possível criar um token para e representar qualquer conta de usuário em qualquer domínio, e essa conta não precisa primeiro inserir credenciais, como acontece com a delegação irrestrita. É trivial escrever apenas algumas linhas de código .NET para fazer isso, fornecendo as permissões apropriadas e o servidor onde a representação é executada está configurado corretamente.

Portanto, sim, isso é poderoso, e é por isso que a Microsoft fornece os avisos assustadores em documentação para tópicos de delegação. Mas com essa caixa marcada, as contas privilegiadas não podem ser representadas.

Observe que, em alguns cenários, a exposição ao risco é uma questão de perspectiva. Alguns prefeririam a capacidade de delegação e representação sobre a transmissão de senhas além de um limite de segurança. Se em um ambiente onde não há senhas (como em alguns cartões inteligentes), a representação e a delegação podem ser uma das poucas maneiras de executar determinadas funções de maneira prática.

Eu não usei esse recurso do Citrix, mas se for possível usar o Catálogo Global (GC: // versus LDAP: //, porta 3268/3269 em vez de 389/636), isso pode reduzir o risco Além disso, porque o catálogo global é somente leitura. Eles não devem precisar atualizar o AD se apenas autenticarem.

    
por 23.01.2012 / 21:14
0

Isso é o que recebi do suporte da Microsoft.

Delegação não restrita - o servidor deve ter o ticket do usuário para representar, ele não pode obter credencial para nenhum usuário sem saber a senha ou obter um ticket primeiro.

constrained / kerberos only - O servidor deve ter um ticket do usuário para representar, ele não pode obter credencial para nenhum usuário sem saber a senha ou obter um ticket primeiro.

Transição restrita / de protocolo - O servidor pode representar qualquer usuário sem saber sua senha ou obter um ticket primeiro (MAIORES RISCOS).

Apenas a atenuação eficaz no nível do anúncio é ativar o "sinalizador de conta é sensível, não delegar" para usuários de alto privilégio, como administradores de domínio.

Mais detalhes:

link

e

link

    
por 01.02.2012 / 19:30