Active Directory安全提示 #12：Kerberos委派

我在多个演讲中都提到过，Kerberos委派就是身份模拟。当服务（例如Web服务器）需要连接到资源（例如数据库）时模拟用户身份，就会使用Kerberos委派。

Kerberos委派有4种类型：

无约束委派 - 将经过身份验证的用户模拟到任何Kerberos服务[存在无约束委派风险] 约束委派 - 将经过身份验证的用户模拟到特定的Kerberos服务 Kerberos约束委派协议转换 - 将任何用户帐户模拟到特定的Kerberos服务 基于资源的约束委派 - 在资源上配置委派而不是在帐户上配置

出于安全考虑，应将无约束委派转换为约束委派。任何不再需要的Kerberos委派都应被删除。如果没有关联的Kerberos服务主体名称，Kerberos身份验证将无法正常工作，这应该被修复或删除。

使用Active Directory PowerShell模块的PowerShell代码： https://github.com/PyroTek3/Misc/blob/main/Get-ADKerberosDelegation.ps1