Unconstrained delegation

In Microsoft Active Directory-omgevingen, is delegation een methode die wordt gebruikt om een service toestemming te geven om namens een gebruiker acties uit te voeren. Unconstrained (onbeperkte) delegation is een vorm van delegation die, zoals de naam al doet vermoeden, geen beperkingen stelt aan de services waarvoor een ticket kan worden doorgegeven.

Bij gebruik van unconstrained delegation krijgt een service een kopie van het originele Ticket-Granting Ticket (TGT) van een gebruiker. Dit TGT kan vervolgens worden gebruikt om service tickets aan te vragen voor elke andere service in het domein namens die gebruiker.

Het risico van unconstrained delegation is dat als een aanvaller controle krijgt over een computer (of een account) die is geconfigureerd om unconstrained delegation te gebruiken, de aanvaller kan optreden namens elke gebruiker die authenticatieverzoeken doet aan de gecompromitteerde service. Dit geeft de aanvaller een aanzienlijke hoeveelheid controle, omdat ze in staat kunnen zijn om de identiteit van een gebruiker aan te nemen en toegang te krijgen tot resources alsof ze die gebruiker zijn.

Bovendien, omdat de aanvaller een volledige kopie van de TGT van de gebruiker heeft, kunnen ze de TGT blijven gebruiken om nieuwe service tickets te krijgen, zelfs nadat de originele gebruiker is uitgelogd of hun wachtwoord heeft veranderd. Dit betekent dat een aanvaller potentieel aanhoudende toegang tot het netwerk kan krijgen.

Om het risico van unconstrained delegation te beperken, is het aanbevolen om het gebruik ervan in uw netwerk tot een minimum te beperken en indien mogelijk te vervangen door constrained delegation, die alleen toestaat dat tickets worden doorgegeven aan specifieke services. Het is ook belangrijk om regelmatig te controleren op ongebruikelijke of ongeautoriseerde delegation configuraties.

Het is helemaal niet verkeerd om eens op je gemak een boek met betrekking tot Active Directory door te bladeren.