允许行动

说明

源安全主体可以在目标计算机上执行基于 Kerberos 资源的约束委派。这意味着该主体可以在使用 Kerberos 对在目标计算机上运行的任何服务进行身份验证时,假冒目标计算机。

因此,它通常会导致目标计算机遭到全面入侵。

此攻击也称为基于资源的约束委派 (RBCD)、基于 Kerberos 资源的约束委派 (KRBCD)、基于资源的 Kerberos 约束委派 (RBKCD),以及“允许代表其他身份行动”。

渗透利用

危害源安全主体的攻击者可以使用 Rubeus 等专用黑客工具,利用合法的 Kerberos 协议扩展(S4U2self 和 S4U2proxy),来伪造 Kerberos 服务票据并假冒目标用户。攻击者将有可能选择假冒特权用户来获得特权访问权限。

攻击者伪造服务票据后,便可使用任何本机管理工具或与 Kerberos 兼容的专用黑客工具执行远程任意命令。

成功的漏洞利用尝试必须满足以下限制:

  • 源和目标安全主体必须具有 ServicePrincipalName。如果不具备此条件,Tenable Identity Exposure 不会创建此攻击关系。

  • 被锁定为欺骗目标的帐户既不能标记为“敏感且无法委派”(UserAccountControl 中的 ADS_UF_NOT_DELEGATED ),也不能是“Protected Users”组成员,原因是 Active Directory 会保护此类帐户免受委派攻击。

修复

如果源安全主体无需可在目标计算机上执行基于 Kerberos 资源的约束委派 (RBCD) 的权限,则必须将其删除。必须在目标端进行修改,这与“允许委派”委派攻击关系相反。

不能使用“Active Directory 用户和计算机”等现有图形管理工具管理 RBCD。必须改用 PowerShell 来修改 msDS-AllowedToActOnBehalfOfOtherIdentity 属性的内容。

使用以下命令列出允许对目标执行操作的源安全主体(位于“Access:”部分):

复制
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-List

如果不需要列出的任何安全主体,可以使用以下命令清除所有安全主体:

复制
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"

如果只需从列表中删除一个安全主体,很遗憾,Microsoft 不提供直接命令。必须使用去除要删除的主体的相同列表覆盖该属性。例如,如果“sourceA”、“sourceB”和“sourceC”均受支持,但您只想删除“sourceB”,请运行以下命令:

复制
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)

最后我们一般会建议,为了限制敏感特权帐户遭到此类委派攻击,Tenable Identity Exposure 建议将此类帐户标记为“敏感且无法委派”(ADS_UF_NOT_DELEGATED),或在仔细验证相关操作影响之后,将其添加到“Protected Users”组。

另请参阅