委派
委派是大型网络中经常部署的应用模式,给多跳认证带来了很大的便利与此同时也带来了很大的安全隐患。利用委派,攻击者可结合其他漏洞进行组合攻击,导致攻击者可获取本地管理员权限甚至域管理员权限,还可以制作深度隐藏的后门。
委派是指将域内用户的权限委派给服务账户,使得服务账户能以用户权限访问域内的其他服务。
委派的流程图如图所示,域内用户A以Kerberos身份验证访问Web服务器请求下载文件,但是真正的文件在后台的文件服务器上。于是,Web服务器的服务账户会模拟域用户A,以Kerberos协议继续认证到后台的文件服务器。后台文件服务器将文件返回给Web服务器,Web服务器再将文件返回给域内用户A。这样就完成了一个委派的流程。
在域内,只有主机账户和服务账户才具有委派的属性。
- 主机账户就是活动目录Computers 中的计算机,也可以称其为机器账户
- 服务账户是域内用户账户的一种类型,是将服务运行起来并加入域时所用的账户。列如,SQL Server 在安装时会在域内自动注册服务账户SQLServiceAccount,也可以将域用户通过注册SPN变为服务账户。
1. 委派的分类
域内委派主要有三个类型:
- 非约束性委派(Unconstrained Delegation ,UD)
- 约束性委派(Constrained Delegation,CD)
- 基于资源的约束性委派(Resource Bas