Constrained delegation
Constrained delegation is een feature binnen Microsoft Active Directory die het mogelijk maakt om bepaalde services toestemming te geven om namens een gebruiker acties uit te voeren, maar met beperkingen op welke services de verificatiegegevens kunnen worden doorgestuurd.
Dit wordt vaak gebruikt in scenario's waarbij een front-end service moet communiceren met een back-end service namens de gebruiker. Bijvoorbeeld, als een webapplicatie toegang nodig heeft tot een database namens de gebruiker die is ingelogd, kan constrained delegation worden gebruikt om de webapplicatie in staat te stellen dat te doen.
In tegenstelling tot unconstrained delegation, waarbij een service een kopie van het originele Ticket-Granting Ticket (TGT) van de gebruiker krijgt, bij constrained delegation krijgt de service alleen een service ticket voor de specifieke back-end service(s) waarvoor het is gemachtigd.
Het risico van constrained delegation is echter dat als een aanvaller controle krijgt over een account of een computer die is geconfigureerd om constrained delegation te gebruiken, de aanvaller in staat zou kunnen zijn om zich voor te doen als elke gebruiker die een verzoek doet aan die service, maar alleen voor de services waarvoor delegation is toegestaan.
Bovendien, in sommige configuraties kan constrained delegation nog steeds gebruikt worden om toegang te krijgen tot andere services door gebruik te maken van een techniek genaamd "protocol transition". Dit maakt het mogelijk om een verificatietransitie uit te voeren van een niet-Kerberos protocol (zoals NTLM) naar Kerberos, wat potentieel misbruikt kan worden door aanvallers om zichzelf als elke gebruiker in het domein voor te doen.
Om deze risico's te beperken, is het aanbevolen om het gebruik van delegation tot een minimum te beperken, alleen toe te staan voor de noodzakelijke services, en regelmatig te controleren op ongebruikelijke of ongeautoriseerde delegation configuraties. Daarnaast moet je ook het gebruik van protocol transition beperken en alleen inschakelen waar nodig.
Het is helemaal niet verkeerd om eens op je gemak een boek met betrekking tot Active Directory door te bladeren.