Você pode reduzir o risco marcando a caixa na guia "> opções de conta para "A conta é confidencial e não pode ser delegada" para suas contas administrativas privilegiadas.
A delegação restrita é um recurso incomum e incompreendido do Active Directory. Não é novo; existe desde o Windows 2003.
Antes da delegação "restrita", a delegação da capacidade de representar outra conta de usuário para executar funções em seu nome tinha "restrições" mínimas. Isso significa que, com a delegação irrestrita, se você tiver um token de "nível de delegação" para outra conta de usuário, poderá representar essa conta e acessar qualquer recurso em qualquer servidor como essa conta de usuário. Isso era, como você pode imaginar, indesejável em ambientes de maior segurança. Os tokens geralmente são disponibilizados quando o usuário faz logon inserindo suas credenciais ou usando a autenticação integrada do Windows. Se estiver usando a autenticação do Windows, você precisará do Kerberos para obter um token de "nível de delegação", em oposição a uma representação ou token de identidade. O IIS expõe os tokens do usuário e facilita o uso desse recurso.
A delegação restrita abordou os riscos das seguintes formas:
- o serviço representando a conta só pode acessar recursos no domínio em que a conta e os serviços representados estão localizados (geralmente um domínio "recurso"). Não pode acessar recursos em domínios confiáveis. (Embora possa representar qualquer conta de qualquer domínio confiável).
- limitando os servidores aos quais o serviço de representação pode acessar;
- limitando ainda mais o escopo, especificando o tipo de serviço (CIFS, LDAP, SQL, etc).
Outra reviravolta: com a delegação restrita, é possível criar um token para e representar qualquer conta de usuário em qualquer domínio, e essa conta não precisa primeiro inserir credenciais, como acontece com a delegação irrestrita. É trivial escrever apenas algumas linhas de código .NET para fazer isso, fornecendo as permissões apropriadas e o servidor onde a representação é executada está configurado corretamente.
Portanto, sim, isso é poderoso, e é por isso que a Microsoft fornece os avisos assustadores em documentação para tópicos de delegação. Mas com essa caixa marcada, as contas privilegiadas não podem ser representadas.
Observe que, em alguns cenários, a exposição ao risco é uma questão de perspectiva. Alguns prefeririam a capacidade de delegação e representação sobre a transmissão de senhas além de um limite de segurança. Se em um ambiente onde não há senhas (como em alguns cartões inteligentes), a representação e a delegação podem ser uma das poucas maneiras de executar determinadas funções de maneira prática.
Eu não usei esse recurso do Citrix, mas se for possível usar o Catálogo Global (GC: // versus LDAP: //, porta 3268/3269 em vez de 389/636), isso pode reduzir o risco Além disso, porque o catálogo global é somente leitura. Eles não devem precisar atualizar o AD se apenas autenticarem.