Resource-based constrained delegation

Resource-Based Constrained Delegation (RBCD) is een uitbreiding van het Kerberos-protocol die werd geïntroduceerd in Windows Server 2012. In tegenstelling tot traditionele Constrained Delegation, waarbij de beheerder specifieke diensten specificeert waarnaar een dienst de gebruikerscredentials mag doorgeven, stelt RBCD een service in staat om de rechten te bepalen van welke accounts (bijvoorbeeld een webservice) namens de service kunnen optreden.

Bij het configureren van RBCD wordt de beveiligingsdescriptor van het doel (resource) object zo geconfigureerd dat het aangeeft welke principal (bijvoorbeeld een computer- of gebruikersaccount) namens de service kan optreden.

RBCD kan erg handig zijn in complexe scenario's waarbij traditionele constrained delegation niet voldoet, zoals multi-tier toepassingen en toepassingen die verschillende Active Directory-domeinen overspannen.

Het risico van RBCD is echter dat als een aanvaller in staat is om controle te krijgen over een account dat is geconfigureerd om RBCD te gebruiken, ze in staat kunnen zijn om namens elke gebruiker te handelen die authenticatieverzoeken naar die service stuurt. Afhankelijk van de configuratie en het privilege niveau van de aanvaller, kan dit betekenen dat de aanvaller in staat is om zich als elke gebruiker in het domein voor te doen en toegang te krijgen tot andere diensten.

Om deze risico's te beperken, is het belangrijk om de configuratie van RBCD zorgvuldig te beheren en regelmatig te controleren op ongebruikelijke of ongeautoriseerde RBCD-configuraties. Het gebruik van sterke wachtwoorden en multi-factor authenticatie kan ook helpen om het risico van aanvallen te verminderen.

Het is helemaal niet verkeerd om eens op je gemak een boek met betrekking tot Active Directory door te bladeren.