Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver nya funktioner för Kerberos-begränsad delegering i Windows Server.
Funktionsbeskrivning
Kerberos-begränsad delegering introducerades i Windows Server för att tillhandahålla en säkrare form av delegering som kan användas av tjänster. När den är konfigurerad begränsar begränsad delegering de tjänster som den angivna servern kan agera för en användares räkning. Detta kräver domänadministratörsbehörighet för att konfigurera ett domänkonto för en tjänst och begränsar kontot till en enda domän. I moderna företag är klientdelstjänster inte utformade för att bara integreras med tjänster i deras domän.
I tidigare operativsystem konfigurerade domänadministratörer tjänsten och tjänstadministratörer kunde inte veta vilka klientdelstjänster som delegerades till de resurstjänster som de ägde. Och alla klientdelstjänster som kunde delegeras till en resurstjänst representerade en potentiell attackpunkt. Om en server som var värd för en klientdelstjänst komprometterades och den konfigurerades för att delegera till resurstjänster, kan även resurstjänsterna komprometteras.
I Windows Server 2012 R2 och Windows Server 2012 överförs möjligheten att konfigurera begränsad delegering för tjänsten från domänadministratören till tjänstadministratören. På så sätt kan serverdelstjänstadministratören tillåta eller neka klientdelstjänster.
Windows Server 2012 R2- och Windows Server 2012-implementeringen av Kerberos-protokollet innehåller tillägg som är specifikt för begränsad delegering. Tjänsten Service for User to Proxy (S4U2Proxy) möjliggör att en tjänst kan använda sin Kerberos-biljett för en användare för att erhålla en tjänstbiljett från Key Distribution Center (KDC) till en bakgrundstjänst. Dessa tillägg gör att begränsad delegering kan konfigureras på serverdelstjänstens konto, som kan finnas i en annan domän. Mer information om dessa tillägg finns i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification i MSDN-biblioteket.
Praktiska tillämpningar
Med begränsad delegering kan tjänstadministratörer ange och tillämpa gränser för programförtroende genom att begränsa var programtjänster kan agera för en användares räkning. Tjänstadministratörer kan konfigurera vilka klientdelstjänstkonton som kan delegeras till deras serverdelstjänster.
Frontend-tjänster som Microsoft Internet Security and Acceleration (ISA) Server, Microsoft Forefront Threat Management Gateway, Microsoft Exchange Outlook Web Access (OWA) och Microsoft SharePoint Server kan använda begränsad delegering för att autentisera till servrar i andra domäner. Detta ger stöd för tjänstlösningar för domäner med hjälp av en befintlig Kerberos-infrastruktur. Kerberos-begränsad delegering kan hanteras av domänadministratörer eller tjänstadministratörer.
Resursbaserad begränsad delegering mellan domäner
Med Kerberos-begränsad delegering kan du ange begränsad delegering när klientdelstjänsten och resurstjänsterna inte finns i samma domän. Tjänstadministratörer kan konfigurera den nya delegeringen genom att ange domänkonton för klientdelstjänster som kan personifiera användare på kontoobjekten för resurstjänsterna.
Vilket värde lägger den här ändringen till?
Tjänster kan använda begränsad delegering för att autentisera till servrar i andra domäner i stället för att använda obegränsad delegering. Detta ger autentiseringsstöd för tjänstlösningar mellan domäner med hjälp av en befintlig Kerberos-infrastruktur utan att kräva förtroende för klientdelstjänster för att delegera till någon tjänst.
Detta förskjuter också beslutet om en server ska lita på källan till en delegerad identitet från domänadministratören som delegerar till resursägaren.
Vad fungerar annorlunda?
En ändring i det underliggande protokollet tillåter begränsad delegering mellan domäner. Windows Server 2012 R2- och Windows Server 2012-implementeringen av Kerberos-protokollet innehåller tillägg till S4U2Proxy-protokollet (Service for User to Proxy). Det här är en uppsättning tillägg till Kerberos-protokollet som gör att en tjänst kan använda sin Kerberos-tjänstbiljett för en användare för att hämta en tjänstbiljett från Key Distribution Center (KDC) till en serverdelstjänst.
Implementeringsinformation om dessa tillägg finns i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification i MSDN.
Mer information om den grundläggande meddelandesekvensen för Kerberos-delegering med en vidarebefordrad biljettbeviljande biljett (TGT) jämfört med tillägg för Tjänst för användare (S4U) finns i avsnittet 1.3.3 Protocol Overview i [MS-SFU]: Kerberos Protocol Extensions: Service for User and Constrained Delegation Protocol Specification.
Säkerhetskonsekvenser av resursbaserad begränsad delegering
Resursbaserad begränsad delegering ger kontroll över delegering till administratören som äger resursen som används. Det beror på attribut för resurstjänsten i stället för den tjänst som är betrodd att delegera. Därför kan resursbaserad begränsad delegering inte använda biten Trusted-to-Authenticate-for-Delegation som tidigare kontrollerade protokollövergången. KDC tillåter alltid protokollövergång när resursbaserad begränsad delegering genomförs som om biten hade angetts.
Eftersom KDC inte begränsar protokollövergången ger två nya välkända SID:er den här kontrollen till resursadministratören. Dessa SID:er identifierar om protokollövergången har skett och kan användas med standardlistor för åtkomstkontroll för att bevilja eller begränsa åtkomst efter behov.
| SID | Description |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
Ett SID som innebär att klientens identitet bekräftas av en autentiseringsutfärdare baserat på bevis på innehav av klientautentiseringsuppgifter. |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
Ett SID som innebär att klientens identitet bekräftas av en tjänst. |
En serverdelstjänst kan använda ACL-standarduttryck för att avgöra hur användaren autentiserades.
Hur konfigurerar du resursbaserad begränsad delegering?
Om du vill konfigurera en resurstjänst så att klientdelstjänster får åtkomst till resurser åt användarna använder du Windows PowerShell-cmdletar.
Om du vill hämta en lista över huvudkonton använder du cmdletarna Get-ADComputer, Get-ADServiceAccount och Get-ADUser med parametern Properties PrincipalsAllowedToDelegateToAccount .
Om du vill konfigurera resurstjänsten använder du cmdletarna New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount och Set-ADUser med parametern PrincipalsAllowedToDelegateToAccount .