Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden nieuwe mogelijkheden beschreven voor beperkte Kerberos-delegering in Windows Server.
Functiebeschrijving
Beperkte Kerberos-delegering is geïntroduceerd in Windows Server om een veiligere vorm van delegatie te bieden die door services kan worden gebruikt. Wanneer deze is geconfigureerd, beperkt beperkte delegering de services waartoe de opgegeven server namens een gebruiker kan handelen. Hiervoor zijn domeinbeheerdersbevoegdheden vereist voor het configureren van een domeinaccount voor een service en wordt het account beperkt tot één domein. In moderne ondernemingen zijn front-endservices niet ontworpen om alleen te integreren met services in hun domein.
In eerdere besturingssystemen hebben domeinadministratoren de service geconfigureerd en servicebeheerders hebben geen manier om te weten welke front-endservices zijn gedelegeerd aan de resourceservices waarvan ze eigenaar zijn. En elke front-endservice die aan een resourceservice kan delegeren, vertegenwoordigde een potentieel aanvalspunt. Als een server waarop een front-endservice wordt gehost, is aangetast en deze is geconfigureerd om te delegeren aan resourceservices, kunnen de resourceservices ook worden aangetast.
In Windows Server 2012 R2 en Windows Server 2012 wordt de mogelijkheid om beperkte delegering voor de service te configureren van de domeinbeheerder overgebracht naar de servicebeheerder. Op deze manier kan de back-endservicebeheerder front-endservices toestaan of weigeren.
De implementatie van Windows Server 2012 R2 en Windows Server 2012 van het Kerberos-protocol bevat extensies die specifiek zijn bedoeld voor beperkte delegatie. Service for User to Proxy (S4U2Proxy) staat een service toe om het Kerberos-serviceticket te gebruiken voor een gebruiker om een serviceticket te verkrijgen van het Key Distribution Center (KDC) naar een back-endservice. Met deze extensies kan beperkte delegering worden geconfigureerd voor het account van de back-endservice, dat zich in een ander domein kan bevinden. Zie [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification in de MSDN-bibliotheek voor meer informatie over deze extensies.
Praktische toepassingen
Met beperkte delegering kunnen servicebeheerders grenzen voor toepassingsvertrouwen opgeven en afdwingen door te beperken waar toepassingsservices namens een gebruiker kunnen optreden. Servicebeheerders kunnen configureren welke front-endserviceaccounts aan hun back-endservices kunnen delegeren.
Front-endservices zoals Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) en Microsoft SharePoint Server kunnen beperkte delegatie gebruiken om te verifiëren bij servers in andere domeinen. Dit biedt ondersteuning voor serviceoplossingen voor meerdere domeinen met behulp van een bestaande Kerberos-infrastructuur. Beperkte Kerberos-delegering kan worden beheerd door domeinbeheerders of servicebeheerders.
Beperkte overdracht op basis van resources tussen domeinen
Met beperkte Kerberos-delegering kunt u beperkte delegering opgeven wanneer de front-endservice en de resourceservices zich niet in hetzelfde domein bevinden. Servicebeheerders kunnen de nieuwe delegatie configureren door de domeinaccounts van de front-endservices op te geven die gebruikers kunnen imiteren op de accountobjecten van de resourceservices.
Welke waarde voegt deze wijziging toe?
Services kunnen beperkte delegering gebruiken om te verifiëren bij servers in andere domeinen in plaats van gebruik te maken van niet-getrainde delegering. Dit biedt verificatieondersteuning voor serviceoplossingen tussen domeinen met behulp van een bestaande Kerberos-infrastructuur zonder dat er vertrouwen in front-endservices nodig is om te delegeren aan een service.
Dit verschuift ook de beslissing of een server de bron van een gedelegeerde identiteit moet vertrouwen vanuit de beheerder van het delegerende domein naar de resource-eigenaar.
Wat werkt er anders?
Door een wijziging in het onderliggende protocol is beperkte overdracht tussen domeinen toegestaan. De implementatie van het Kerberos-protocol voor Windows Server 2012 R2 en Windows Server 2012 bevat extensies voor het protocol Service for User to Proxy (S4U2Proxy). Dit is een set extensies voor het Kerberos-protocol waarmee een service het Kerberos-serviceticket voor een gebruiker kan gebruiken om een serviceticket te verkrijgen van het Key Distribution Center (KDC) naar een back-endservice.
Zie [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification in MSDN voor implementatie-informatie over deze extensies.
Zie sectie 1.3.3 Protocol Overview in de [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification voor meer informatie over de basisberichtenreeks voor Kerberos-delegering met een doorgestuurd ticket-verleningsticket (TGT) in vergelijking met Service for User (S4U) extensies.
Beveiligingsgevolgen van beperkte delegering op basis van resources
Beperkte delegering op basis van resources geeft controle over delegering aan de beheerder die eigenaar is van de resource die wordt geopend. Het is afhankelijk van kenmerken van de resourceservice in plaats van de service die wordt vertrouwd om te delegeren. Als gevolg hiervan kan beperkte delegatie op basis van resources de bit Trusted-to-Authenticate-for-Delegation die eerder beheerde protocolovergang niet gebruiken. De KDC staat altijd protocolovergang toe bij het uitvoeren van resourcegebaseerde beperkte delegering alsof de bit was ingesteld.
Omdat de KDC de protocolovergang niet beperkt, geven twee nieuwe bekende SID's dit besturingselement aan de resourcebeheerder. Deze SID's bepalen of protocolovergang heeft plaatsgevonden en kunnen worden gebruikt met standaardtoegangsbeheerlijsten om zo nodig toegang te verlenen of te beperken.
| SID | Description |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Een SID die betekent dat de identiteit van de client wordt geverifieerd door een verificatie-instantie op basis van bewijs van het bezit van clientreferenties. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Een SID die betekent dat de identiteit van de cliënt door een service wordt bevestigd. |
Een back-endservice kan standaard-ACL-expressies gebruiken om te bepalen hoe de gebruiker is geverifieerd.
Hoe configureert u beperkte delegering op basis van resources?
Als u een resourceservice wilt configureren om front-endservices toegang te geven tot resources namens gebruikers, gebruikt u Windows PowerShell-cmdlets.
Als u een lijst met principals wilt ophalen, gebruikt u de cmdlets Get-ADComputer, Get-ADServiceAccount en Get-ADUser met de parameter Properties PrincipalsAllowedToDelegateToAccount .
Als u de resourceservice wilt configureren, gebruikt u de cmdlets New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount en Set-ADUser met de parameter PrincipalsAllowedToDelegateToAccount .