Suvestinė
Miškų Patikimi šaltiniai pateikia būdą Active Directory miško pasitikėti pašto vartotojus iš kito miško išteklių. Šis patikimumo gali būti konfigūruojamas pokytį. Vartotojo tapatybės šaltinis yra patikimas miškas. Pasitikėti miške yra išteklių, kurie autentifikuojami vartotojai. Patikimas miškas gali autentifikuoti vartotojai galėtų pasitikėti miške nebūtų atvirkštinis gali kilti.
Nesuvaržytas Kerberos pavedimas yra mechanizmas, kai vartotojas siunčia savo kredencialus paslauga paslaugai pasiekti išteklius vartotojo vardu. Įgalinti nesuvaržytas Kerberos pavedimas, kad tarnybos abonementas "Active Directory" turi būti pažymėtos kaip patikimas perdavimo. Dėl šios priežasties problema, jei vartotojo ir paslaugos priklauso kitą miškuose. Paslaugos miško atsakingas už leidžia perdavimas. Perdavimo yra vartotojų iš miško vartotojo kredencialus.
Leisti miško priimti saugos sprendimus, turi įtakos kitos miško abonementai pažeidžia saugos riba tarp miškų. Pažeidėjas, kuriai priklauso jūsų naudojamas pasitikėti miške gali prašyti perdavimas per TGT pašto vartotojo patikimas miškas, suteikiant jam prieigą prie patikimų miško išteklių. Tai netaikoma Kerberos ribojamas perdavimas (KCD).
"Windows Server 2012" pristatė miško ribų Kerberos visą perdavimo vykdymo. Ši funkcija įtraukta strategija patikimame domene, Norėdami išjungti nesuvaržytas perdavimas per patikimumo pagrindu. Ši funkcija numatytasis parametras leidžia nesuvaržytas perdavimas ir yra nesaugus.
Suteikia apsaugos stiprinimas taikomos šios Windows Server versijoms:
-
"Windows" serverio 2019
-
„Windows Server 2016“
-
„Windows Server 2012 R2“
-
„Windows Server 2012“
Ši funkcija kartu su saugos stiprinimas buvo backported į šias versijas:
-
„Windows Server 2008 R2“
-
„Windows Server 2008“
Šie naujinimai, atlikite šiuos keitimus:
-
Nesuvaržytas Kerberos pavedimas yra išjungtas pagal numatytuosius parametrus naujų miško ir naują išorinio Patikimi šaltiniaikai įdiegiategegužės 14 naujinimas ir vėliau naujinimus.
-
Nesuvaržytas Kerberos pavedimas išjungta miškų (naujų ir esamų) ir išoriniai Patikimi šaltiniai įdiegus toliau 9 2019 m., ir vėliau naujinimus.
-
Administratoriai gali įjungti nesuvaržytas Kerberos perdavimas naudojant gegužės arba naujesnės versijos NETDOM ir AD PowerShell modulis.
Naujinimai gali sukelti suderinamumo konfliktus dėl programų, kurios šiuo metu reikalauja nesuvaržytas perdavimas visoje miško arba išorinis Patikimi šaltiniai. Tai ypač aktualu išorės pasitikėjimo, kurio sulaikymo vėliava (taip pat žinomas kaip SID filtravimo) įjungta pagal numatytuosius parametrus. Tiksliau, autentifikavimo užklausos dėl paslaugų, kurios naudoja nesuvaržytas perdavimas per kitus patikimumo tipų nepavyks, kai prašote naujų bilietų.
Išleidimo datos, ieškokite naujinimų laiko planavimo juosta.
Sprendimas
Pateikti duomenis ir abonemento saugos Windows Server versiją, kuri turi vykdyti miško ribų Kerberos visą perdavimo funkcija, galite blokuoti TGT perdavimas įdiegus kovo 2019 naujinimus per į gaunamus patikimumo nustatydami, Netdom vėliava EnableTGTDelegationne taip:
netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:No
TGT perdavimas yra užblokuotas naujų ir esamų miško ir išoriniai Patikimi šaltiniai, po to, kai įdiegiate gegužės ir liepos 2019 atnaujina atitinkamai.
Norėdami vėl įjungti perdavimas visoje Patikimi šaltiniai ir grąžinti pradinę nesaugių konfigūraciją, kol ribojamasis arba išteklių perdavimas gali būti įgalintas, nustatykite EnableTGTDelegation vėliava taip.
Įgalinti TGT perdavimas NETDOM Komandinė eilutė yra tokia:
netdom trust <TrustedDomainName > /domain:<TrustingDomainName > /EnableTgtDelegation:Yes
Teoriškai galite NETDOM sintaksė įgalinimas TGT perdavimas taip:
netdom trust <domain that you are administering> /domain:<domain whose trust NETDOM is modifying> /EnableTgtDelegation:Yes
Įgalinti TGT perdavimas fabrakam.com vartotojų contoso.com serveriuose NETDOM sintaksė yra tokia:
netdom.exe trust fabrikam.com /domain:contoso.com /EnableTGTDelegation:Yes
Pastabos
-
EnableTGTDelegation vėliava turi būti nustatyta patikimo domeno (fabrikam.com Šiuo atveju) su kiekvienu pasitikėti domenu (pvz., contoso.com). Nustačius vėliava patikimame domene leis daugiau TGTs perduoti pasitikėti domeno.
-
Saugus, EnableTGTDelegation yra Nr.
-
Bet programą ar tarnybą, kuri remiasi nesuvaržytas perdavimas visoje miškų nepavyks nustačius EnableTGTDelegation rankiniu būdu ar automatiškai taip. EnableTGTDelegation numatytoji ne dėl naujų ir esamų Patikimi šaltiniai, po to, kai įdiegti naujinimus, 2019 m. gegužės ir liepos 2019. Daugiau informacijos apie tai, kaip nustatyti šią triktį, peržiūrėkite rasti paslaugos, pagrįstos nesuvaržytas perdavimas. Peržiūrėkite atnaujina laiko juostos pakeitimai, turintys įtakos, kaip šis sprendimas gali būti taikomi laiko juosta.
-
Jei norite gauti daugiau informacijos apie NETDOM, ieškokite Netdom.exe dokumentaciją.
-
Jei turite įgalinti TGT perdavimas, trust, rekomenduojama, kad sumažinti pavojų įjungdami "Windows" sargybos kredencialų apsaugos kliento kompiuteryje. Tai neleidžia paleisti visus nesuvaržytas perdavimas iš kompiuterio, kuriame yra "Windows" sargybos kredencialų apsaugos įjungtas ir veikia.
-
Jei turite miško ar išorinio patikimumo ir arba sukonfigūruoti taip, kaip sulaikytas, TGT perdavimas įgalinti negalima, nes dviem parinktimis turi priešingą semantika. Karantino šiek tiek sustiprina tarp konkrečių domenų saugos riba. Įgalinimas TGT perdavimas ištrinti duomenis tarp domenų suteikiant prieigą prie pasitikėti domeno kredencialus, vartotojai iš patikimo domeno saugos ribos. Jūs negalite turėti abiem būdais.
Pridėti vėliavėlę sulaikymo: no NETDOM komandų eilutės sintaksė Įgalinus karantino vėliava šiuo metu.
-
Jei pakeitėte EnableTGTDelegation ir taip, panaikinti Kerberos bilietų kilmės ir tarpinių skambinant prireikus. Norėdami panaikinti susijusi bilietas yra kliento kreipimosi TGT per atitinkamą patikimumo. Tai gali apimti daugiau nei vieną įrenginį, priklausomai nuo tam tikroje aplinkoje perdavimas saitų skaičių.
Jei norite gauti daugiau informacijos apie šią procedūrą, straipsnyje "Windows" IT Pro centras:
Apsaugoti išvestinė domeno kredencialus su "Windows" sargybos kredencialų apsaugos
Laiko juostos naujinimus
2019 m. kovo 12
Toliau vykdyti miško ribų, Kerberos visą perdavimas bus galima atnaujinti šią funkciją visoms palaikomoms versijoms Windows Server, kurios išvardytos skyriuje taikoma šio straipsnio viršuje. Rekomenduojame nustatyti Patikimi šaltiniai miško gavimo funkciją.
Naujinimas bus įtraukti miško ribų Kerberos visą perdavimo vykdymo funkcija šioms sistemoms:
-
„Windows Server 2008 R2“
-
„Windows Server 2008“
2019 m. gegužės 14
Naujinimas buvo išleistas, įtraukti į naują saugaus numatytąjį konfigūracijos naujų miško ir išoriniai Patikimi šaltiniai. Jei jums reikia perdavimas visoje Patikimi šaltiniai, turi būti nustatyta EnableTGTDelegation vėliavėlę ir taip iki 2019 m. gruodžio 9 naujinimas yra įdiegtas. Jei jums nereikia perdavimas visoje Patikimi šaltiniai, ne turėtumėte nustatyti EnableTGTDelegation žymę. EnableTGTDelegation vėliava nepaisoma iki 2019 m. gruodžio 9 naujinimas yra įdiegtas, siekiant suteikti administratoriai laiko vėl įjunkite nesuvaržytas "Kerberos pavedimas", kai to reikia.
Kaip šį naujinimą, EnableTGTDelegation vėliava bus nustatyta kaip ne pagal numatytuosius parametrus, skirtus bet naujai sukurtą. Tai yra priešinga ankstesnę veikimo. Rekomenduojame, kad administratoriai vietoj iš naujo sukonfigūruoti naudoti išteklių ribojamasis perdavimas veikiančias paslaugas.
Jei norite gauti daugiau informacijos apie tai, kaip nustatyti suderinamumo problemų, žr. rasti paslaugos, pagrįstos nesuvaržytas perdavimas.
2019 m. gruodžio 9
Naujinimas buvo išleistas, taiko naujas numatytąsias parinktis įėjimo pusėje miško ir išoriniai Patikimi šaltiniai. Autentifikavimo užklausos bus patvirtinti paslaugų, kurios naudoja nesuvaržytas perdavimas per kitus patikimumo tipai, bet be perdavimas. Tarnybos nepavyksta bandant paleisti įgaliotasis operacijų.
Mažinimas, ieškokite skyriuje "sprendimas".
Paieškos paslaugos, kurios naudoja nesuvaržytas perdavimas
Ieškote miškuose, kuriuose yra gaunamus Patikimi šaltiniai, kurie leidžia TGT perdavimas ir rasti visas saugos principai, kad nesuvaržytas perdavimas, leisti vykdyti šį "PowerShell" scenarijų scenarijus failų (pvz., Get-RiskyServiceAccountsByTrust.ps1 - Surinkite):
Pastaba.
Taip pat galite perduoti - ScanAll pataisymui ieškoti Patikimi šaltiniai, kurie neleidžia TGT perdavimas.
[CmdletBinding()]
Param
(
[switch]$Collect,
[switch]$ScanAll
)
if ($Debug) {
$DebugPreference = 'Continue'
}
else {
$DebugPreference = 'SilentlyContinue'
}
function Get-AdTrustsAtRisk
{
[CmdletBinding()]
Param
(
[string]$Direction = "Inbound",
[switch]$ScanAll
)
if ($ScanAll) {
return get-adtrust -filter {Direction -eq $Direction}
}
else {
return get-adtrust -filter {Direction -eq $Direction -and TGTDelegation -eq $false}
}
}
function Get-ServiceAccountsAtRisk
{
[CmdletBinding()]
Param
(
[string]$DN = (Get-ADDomain).DistinguishedName,
[string]$Server = (Get-ADDomain).Name
)
Write-Debug "Searching $DN via $Server"
$SERVER_TRUST_ACCOUNT = 0x2000
$TRUSTED_FOR_DELEGATION = 0x80000
$TRUSTED_TO_AUTH_FOR_DELEGATION= 0x1000000
$PARTIAL_SECRETS_ACCOUNT = 0x4000000
$bitmask = $TRUSTED_FOR_DELEGATION -bor $TRUSTED_TO_AUTH_FOR_DELEGATION -bor $PARTIAL_SECRETS_ACCOUNT
$filter = @"
(&
(servicePrincipalname=*)
(|
(msDS-AllowedToActOnBehalfOfOtherIdentity=*)
(msDS-AllowedToDelegateTo=*)
(UserAccountControl:1.2.840.113556.1.4.804:=$bitmask)
)
(|
(objectcategory=computer)
(objectcategory=person)
(objectcategory=msDS-GroupManagedServiceAccount)
(objectcategory=msDS-ManagedServiceAccount)
)
)
"@ -replace "[\s\n]", ''
$propertylist = @(
"servicePrincipalname",
"useraccountcontrol",
"samaccountname",
"msDS-AllowedToDelegateTo",
"msDS-AllowedToActOnBehalfOfOtherIdentity"
)
$riskyAccounts = @()
try {
$accounts = Get-ADObject -LDAPFilter $filter -SearchBase $DN -SearchScope Subtree -Properties $propertylist -Server $Server
}
catch {
Write-Warning "Failed to query $Server. Consider investigating seperately. $($_.Exception.Message)"
}
foreach ($account in $accounts) {
$isDC = ($account.useraccountcontrol -band $SERVER_TRUST_ACCOUNT) -ne 0
$fullDelegation = ($account.useraccountcontrol -band $TRUSTED_FOR_DELEGATION) -ne 0
$constrainedDelegation = ($account.'msDS-AllowedToDelegateTo').count -gt 0
$isRODC = ($account.useraccountcontrol -band $PARTIAL_SECRETS_ACCOUNT) -ne 0
$resourceDelegation = $account.'msDS-AllowedToActOnBehalfOfOtherIdentity' -ne $null
$acct = [PSCustomobject] @{
domain = $Server
sAMAccountName = $account.samaccountname
objectClass = $account.objectclass
isDC = $isDC
isRODC = $isRODC
fullDelegation = $fullDelegation
constrainedDelegation = $constrainedDelegation
resourceDelegation = $resourceDelegation
}
if ($fullDelegation) {
$riskyAccounts += $acct
}
}
return $riskyAccounts
}
function Get-RiskyServiceAccountsByTrust
{
[CmdletBinding()]
Param
(
[switch]$ScanAll
)
$riskyAccounts = @()
$trustTypes = $("Inbound", "Bidirectional")
foreach ($type in $trustTypes) {
$riskyTrusts = Get-AdTrustsAtRisk -Direction $type -ScanAll:$ScanAll
foreach ($trust in $riskyTrusts) {
$domain = $null
try {
$domain = Get-AdDomain $trust.Name -ErrorVariable eatError -ErrorAction Ignore
} catch {
write-debug $_.Exception.Message
}
if($eatError -ne $null) {
Write-Warning "Couldn't find domain: $($trust.Name)"
}
if ($domain -ne $null) {
$accts = Get-ServiceAccountsAtRisk -DN $domain.DistinguishedName -Server $domain.DNSRoot
foreach ($acct in $accts) {
Write-Debug "Risky: $($acct.sAMAccountName) in $($acct.domain)"
}
$risky = [PSCustomobject] @{
Domain = $trust.Name
Accounts = $accts
}
$riskyAccounts += $risky
}
}
}
return $riskyAccounts
}
if ($Collect) {
Get-RiskyServiceAccountsByTrust -ScanAll:$ScanAll | Select-Object -expandProperty Accounts | format-table
}
PowerShell scenarijų išvestis sąrašą Active Directory saugos pagrindai, sričių, kurios yra sukonfigūruotas, gaunamo patikimumo iš vykdančiosios domeno, kuris yra jokių perdavimas sukonfigūruotas. Išvesties panaši į toliau pateiktą pavyzdį.
domeno |
sAMAccountName |
objectClass |
partner.fabrikam.com |
pavojingų |
Vartotojo |
partner.fabrikam.com |
labsrv$ |
kompiuteris |
Aptikti nesuvaržytas perdavimas naudojant "Windows" įvykiai
Kai Kerberos bilieto, pavyzdys, "Active Directory" domeno valdiklis registruoja šį saugos įvykiai. Įvykiai yra informacijos apie į paskirties domeną. Norėdami nustatyti, ar yra naudojamas nesuvaržytas perdavimas per gavimo Patikimi šaltiniai, galite naudoti įvykius.
Pastaba.
Patikrinkite, ar nėra įvykių, kurie yra TargetDomainName reikšmę, kuri atitinka patikimo domeno vardą.
Įvykių žurnale |
Įvykio šaltinis |
Įvykio ID |
Išsami informacija |
Saugos |
"Microsoft" Windows saugos auditas |
4768 |
Kerberos TGT buvo išleistas. |
Saugos |
"Microsoft" Windows saugos auditas |
4769 |
Išleista Kerberos paslaugos kvitas. |
Saugos |
"Microsoft" Windows saugos auditas |
4770 |
Kerberos paslaugos kvitas buvo atnaujinta. |
Trikčių šalinimo autentifikavimo gedimai
Kai nesuvaržytas perdavimas yra išjungta, programos gali turėti šiuos keitimus suderinamumo problemos, jei programos naudoja nesuvaržytas perdavimas. Šios programos turi būti sukonfigūruotas taip, kad naudoti ribojamas perdavimas arba ribojamas perdavimas, ištekliais. Farba daugiau informacijos, see .Kerberos ribojamas perdavimas apžvalga
Programų, kurios naudoja pasirūpins autentifikavimo per Patikimi šaltiniai nepalaikomi naudojant ribojamasis perdavimas. Pvz., yra perdavimas nepavyksta, jei vartotojo a miško autentifikuoja programa miško b ir miško b programa bando perduoti bilietą atgal į miško A.