Kerberos委派技术详解:Active Directory安全核心机制

本文深入解析Kerberos委派的四种类型及其安全风险,包含无约束委派、约束委派、协议转换和基于资源的约束委派,并提供PowerShell检测脚本链接,帮助系统管理员提升Active Directory环境安全性。

Active Directory安全提示第12期:Kerberos委派

我在多次演讲中提到,Kerberos委派本质上是身份模拟。当服务(例如Web服务器)需要以用户身份访问资源(例如数据库)时,就会使用Kerberos委派。

Kerberos委派存在4种类型:

  • 无约束委派 - 将经过身份验证的用户模拟到任何Kerberos服务【存在无约束委派风险】
  • 约束委派 - 将经过身份验证的用户模拟到特定Kerberos服务
  • Kerberos约束委派协议转换 - 将任何用户帐户模拟到特定Kerberos服务
  • 基于资源的约束委派 - 在资源而非帐户上配置委派

出于安全考虑,应将无约束委派转换为约束委派。任何不再需要的Kerberos委派都应被移除。如果不存在关联的Kerberos服务主体名称,说明Kerberos身份验证无法正常工作,这种情况需要修复或移除。

使用Active Directory PowerShell模块的PowerShell代码: https://github.com/PyroTek3/Misc/blob/main/Get-ADKerberosDelegation.ps1

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次