允許行動

說明

來源安全主體可以在目標電腦上執行 Kerberos 資源型限制委派。換言之,當使用 Kerberos 對目標電腦上執行的任何服務進行身分驗證時,它可以模擬任何使用者。

因此,它通常會導致目標電腦完全受損。

此攻擊也稱為資源型限制委派 (RBCD)、Kerberos 資源型限制委派 (KRBCD)、資源型 Kerberos 限制委派 (RBKCD) 和「允許代表其他身分執行」。

利用

入侵來源安全主體的攻擊者可使用專用的駭客工具 (如 Rubeus) 利用合法的 Kerberos 通訊協定延伸模組 (S4U2self 和 S4U2proxy),以偽造 Kerberos 服務工單並模擬目標使用者。攻擊者可能會選擇模擬有權限的使用者來取得特殊權限存取權。

一旦攻擊者偽造服務工單,他們就可以使用與 Kerberos 相容的任何原生管理工具或專門的駭客工具,從遠端執行任意命令。

成功的攻擊行為必須符合下列限制條件:

  • 來源和目標安全主體必須具有 ServicePrincipalName。如果沒有此條件,Tenable Identity Exposure 不會建立此攻擊關係。

  • 偽造的目標帳戶不得標記為「敏感且無法委派」(UserAccountControl 中的 ADS_UF_NOT_DELEGATED),也不能是「受保護使用者」群組的成員,這是因為 Active Directory 可保護此類帳戶不受委派攻擊。

修復

如果來源安全主體不需要在目標電腦上執行 Kerberos 資源型限制委派 (RBCD) 的權限,則您必須將其移除。您必須修改目標端,而不是「允許委派」委派攻擊關係。

您不能使用現有的圖形管理工具 (例如「Active Directory 使用者和電腦」) 來管理 RBCD。您必須改用 PowerShell 來修改 msDS-AllowedToActOnBehalfOfOtherIdentity 屬性的內容。

使用下列命令列出允許在目標電腦上執行動作的來源安全主體 (在「Access:」區段中):

複製
Get-ADComputer target -Properties msDS-AllowedToActOnBehalfOfOtherIdentity | Select-Object -ExpandProperty msDS-AllowedToActOnBehalfOfOtherIdentity | Format-List

如果您不想要任何列出的安全主體,可以使用此命令清除所有這些主體:

複製
Set-ADComputer target -Clear "msDS-AllowedToActOnBehalfOfOtherIdentity"

如果您只需要從清單中移除一個安全主體,那很遺憾,Microsoft 沒有提供直接命令。您必須使用同一個清單減去要移除的主體,以覆寫此屬性。例如,如果「sourceA」、「sourceB」和「sourceC」都是允許的主體,而您只想移除「sourceB」,請執行:

複製
Set-ADComputer target -PrincipalsAllowedToDelegateToAccount (Get-ADUser sourceA),(Get-ADUser sourceC)

最後,作為一般建議,為了限制敏感的特權帳戶遭受此類委派攻擊,Tenable Identity Exposure 建議您在仔細驗證相關的作業影響之後,將其標記為「敏感且無法委派」(ADS_UF_NOT_DELEGATED),或是將其新增至「受保護的使用者」群組。

另請參閱