设置 :
森林function级别:Windows 2003
所有DC – Windows 2003 64位SP2
要求 :
Citrix服务器希望将Kerberos委派用于SSO目的。 他们希望从Citrix演示服务器向CIFS和LDAP服务的本地DC创build受Kerberos约束的委派。
我担心这将允许演示服务器上的pipe理员模拟域pipe理员对DC上的LDAP服务,并在AD中进行未经授权的更改。
问题 :
您可以通过选中“帐户敏感且无法委派”帐户选项卡>帐户选项中的方框来为您的特权pipe理帐户减轻风险。
受限制的委托在Active Directory中有些不寻常和被误解的特性。 这不是新的; 从Windows 2003开始已经有了。
在“受限制”授权之前,委托模仿其他用户帐户来执行function的能力具有最小的“约束”。 这意味着,如果您不受限制地进行委托,如果您拥有另一个用户帐户的“委派级别”令牌,则可以模拟该帐户并以该用户帐户访问任何服务器上的任何资源。 正如你所能想象的那样,在更高安全的环境中是不可取的。 令牌通常在用户通过input凭据login或通过使用集成Windows身份validation时可用。 如果使用Windows身份validation,则需要使用Kerberos获取“委派级别”令牌,而不是使用模拟或身份令牌。 IIS公开用户令牌并使其易于使用此function。
有约束的代表团通过以下方式处理风险:
还有一个转折点:有了约束委派,就有可能为任何域创build一个令牌并冒充任何用户帐户,并且该帐户不需要首先input凭证,就像无约束的委托一样。 只写几行.NET代码就可以做到这一点,提供适当的权限,并且模拟执行的服务器安装正确。
所以是的,这是强大的,这就是为什么微软在授权主题的文档中提供了可怕的警告。 但是选中该框后,特权帐户就不能被模仿。
请注意,在某些情况下,风险敞口是一个透视的问题。 有些人更喜欢在安全边界之外传输密码的授权和模仿能力。 如果在没有密码的环境下(如使用一些智能卡),冒充和委派可能是以实际方式执行某些function的less数几种方法之一。
我没有使用Citrix的这个function,但是如果可以使用全局编目(GC://与LDAP://,端口3268/3269而不是389/636),这可以进一步降低风险,因为全局编录是只读的。 他们不应该只需要authentication就更新AD。
这是我从微软的支持。
不受约束的委托 – 服务器应该有从用户到假冒的票据,不知道密码或先获得票证,任何用户都无法获得凭证。
仅受约束/ kerberos – 服务器应该从用户票证模拟,它不能获得任何用户的凭据不知道密码或先获得一张票。
约束/协议转换 – 服务器可以在不知道密码或先获得票证的情况下冒充任何用户(最危险的)。
只有在AD级别有效的缓解措施是为高权限用户(如域pipe理员)启用“帐户敏感,不委派”标志。
更多细节:
http://msdn.microsoft.com/en-us/magazine/cc163500.aspx
和
http://technet.microsoft.com/en-us/library/cc738207(WS.10).aspx