不受约束的委派

不受约束的授权代表着严重的网络安全风险。通过采取措施滥用应用于 AD 环境中的用户和计算机对象的 Active Directory 委派控制，攻击者可以横向移动，甚至获得域的控制权。

这篇博文探讨了这一攻击领域（无约束委派），并为安全团队和管理员提供了减轻此安全风险的有效策略。

什么是无约束委派？

委派使用户或计算机能够模拟另一个帐户以访问资源（例如后端数据库服务器）。授权有几个实际应用，Microsoft 在这篇博文中介绍了这些应用。

使用用户或计算机帐户上的委派选项卡，您可以配置无约束或受约束委派：

• 通过选择“信任此计算机来委派任何服务（仅限 Kerberos 委派）”，您将启用不受约束
• 或者，您可以通过指定特定的服务主体名称 (SPN) 来限制用户或计算机可以模拟哪些服务，即约束委托。

请注意，另一个选项是基于资源的约束委派 (RBCD)，其中委派是在资源上配置的，而不是在访问资源的帐户上配置的。可以使用 Windows PowerShell 设置 RBCD。

无约束授权有哪些风险？

针对不受约束的委派可以实施多种攻击：harmj0y 的这篇博文中介绍了一些攻击，Sean Metcalf 描述了其他攻击。让我们探讨几个。

示例 1：滥用无约束委派来危害整个 AD 林

安全研究人员已经展示了攻击者如何危害一个林中具有无约束委派的计算机，从而能够危害另一个林及其中的每个域。如果您建立了双向信任，攻击者可以使用 MS-RPRN 打印机错误导致 DC 将身份验证信息发送回攻击者，使他们能够使用 DCSync 来破坏受信任的域。例如，如果您的公司收购了一家小公司并将其域加入到您的域中，那么在小环境中破坏系统的攻击者可能会接管您公司的整个森林，这绝对是不好的。

发布了一篇知识库文章来修复此错误，在 Windows Server 2012 及更高版本中，有一个安全设置可以防止这种情况发生，但默认情况下可能不会打开。

示例 2：利用不受约束的委派来实现横向移动

这是另一个场景。如果为计算机打开无约束委派，则每当帐户连接到该计算机时，来自密钥分发中心 (KDC) 的票证授予票证 (TGT) 都会存储在内存中，以供计算机稍后使用。如果机器受到威胁，攻击者可以获得该 TGT 并滥用它造成大量损害 - 特别是当 TGT 用于高特权用户时。

例如，假设域管理员通过访问共享文件夹通过通用 Internet 文件系统 (CIFS) 访问特定计算机。如果没有打开无约束委派，则只有票证授予服务器（TGS）会存储在内存中；该票证仅允许访问本地计算机上的 CIFS 服务，因此对手无法使用它进行横向移动。我们可以使用 Mimikatz 命令 sekurlsa::tickets /export 来查看这一点，该命令仅返回用户的服务票证 (TGS)：

但是，如果启用无约束委派，该命令将返回管理员帐户的 TGT，攻击者可以在传递票证攻击中使用该 TGT 来危害整个域。

要从连接到系统的任何用户处获取 TGT，攻击者可以使用以下 PowerSpoit 命令：

启用无约束委派所需的权限

为了能够管理对象的委派控制，用户需要以下权限：

• SeEnableDelegationPrivilege，用户权限由域控制器的本地安全策略控制，并通过组策略设置“启用计算机和用户帐户进行信任委派”进行管理，如下所示
• 能够更新计算机的 msDS-AllowedToDelegateTo 和 userAccountControl 属性，这是存储此组策略设置的位置

寻找不受约束的委派

要查明在何处启用了无约束委派，您可以使用以下 PowerShell 脚本。它将检查所有计算机的用户帐户控制 (UAC) 值，以查看在哪里不受限制地启用委派。

您可能还想查看谁被授予了 SeEnableDelegationPrivilege 权利。为此，您可以使用 PowerSploit 和 Get-DomainPolicy 命令。

降低无约束授权风险的最佳实践

为了降低无约束委派的风险，建议：

• 调查是否确实需要无约束委派。在许多情况下，无约束委派被错误地启用，可以完全禁用或转换为约束委派或基于资源的约束委派。 请记住，不建议为域控制器 (DC) 配置约束委派，因为破坏约束委派帐户的攻击者将能够冒充任何用户访问 DC 上的任何服务。
• 使用“此帐户敏感，无法委派”选项可防止敏感帐户被用于委派。
• 将特权用户放入受保护的用户组中。这有助于防止它们在委派中使用，并在进行身份验证后使其 TGT 远离计算机。
• 密切监控委托账户的活动。应监视配置和使用任何类型的委派的所有系统是否存在可疑活动。

Netwrix 如何提供帮助？

无约束委派是犯罪分子可以利用的众多攻击媒介之一，以获取对 Active Directory 环境的访问权限并在其中创建持久性。借助 Netwrix Active Directory 安全解决方案，您将能够：

• 发现安全风险，包括不必要的委派、过多的权限、常设权限和 GPO 错误配置，并确定缓解措施的优先级。
• 在整个 IT 基础设施中建立安全配置，并通过识别和修复硬化基线中的任何不当更改来维护它们。
• 及时检测并响应高级威胁，例如 Kerberoasting、DCSync、dit 提取和 Golden Ticket 攻击。
• 自动响应已知攻击以最大程度地减少损失。
• 确保在发生安全漏洞或其他事件时快速恢复 Active Directory。

常见问题解答

Active Directory 中提供哪些类型的委派？

您的组织可以使用 3 种类型的委派：

• 不受约束的授权
• 受限授权
• 基于资源的约束委派 (RBCD)

什么是基于资源的约束委派 (RBCD)？

通过 RBCD，拥有资源的管理员可以委派对该资源的访问权限。

如何配置 RBCD？

要将资源服务配置为允许代表用户进行访问，您可以使用 Windows PowerShell cmdlet（New-ADComputer、New-ADServiceAccount、New-ADUser）、Set-ADComputer、Set-ADServiceAccount 和 Set-ADUser）以及参数PrincipalsAllowedToDelegateToAccount。