本文說明 Windows Server 中 Kerberos 限制委派的新功能。
功能說明
Windows Server 中引進了 Kerberos 限制委派,以提供服務可以使用的更安全的委派形式。 設定時,限制委派會限制指定伺服器可以代表使用者執行動作的服務。 這需要網域管理員權限才能設定服務的網域帳戶,並將帳戶限制為單一網域。 在現代企業中,前端服務並非設計為只與其網域中的服務整合。
在早期的作業系統中,域管理員配置了服務,而服務管理員無法知道哪些前端服務委派給他們擁有的資源服務。 而且,可以委派給資源服務的任何前端服務都代表一個潛在的攻擊點。 如果裝載前端服務的伺服器已遭到洩露,而且已將它設定為委派給資源服務,則資源服務可能也會遭到洩露。
在 Windows Server 2012 R2 和 Windows Server 2012 中,為服務設定限制委派的能力會從網域系統管理員轉移至服務系統管理員。這樣,後端服務管理員就可以允許或拒絕前端服務。
Windows Server 2012 R2 和 Windows Server 2012 的 Kerberos 通訊協定實作包含專為受限制的委派而設計的延伸。 使用者代理服務 (S4U2Proxy) 允許服務利用使用者的 Kerberos 服務票證,從金鑰分配中心 (KDC) 獲取後端服務的服務票證。 這些延伸允許在後端服務的帳戶上設定限制委派,而這個帳戶可以位於其他網域中。 如需這些延伸功能的詳細資訊,請參閱 MSDN Library 中的 [MS-SFU]:Kerberos 通訊協定延伸功能:使用者服務和限制委派通訊協定規範。
實際應用
限制委派可讓服務管理員限制應用程式服務可以代表使用者執行動作的位置,以指定和強制執行應用程式信任界限。 服務管理員能夠設定哪些前端服務帳戶可以將其任務委派給它們的後端服務。
前端服務,例如 Microsoft Internet Security and Acceleration (ISA) Server、Microsoft Forefront Threat Management Gateway、Microsoft Exchange Outlook Web Access (OWA) 和 Microsoft SharePoint Server,可以使用限制委派來驗證其他網域中的伺服器。 這樣可以使用現有的 Kerberos 基礎結構,支援跨網域服務解決方案。 Kerberos 限制委派可以由網域系統管理員或服務系統管理員來管理。
跨網域的資源型限制委派
Kerberos 限制委派可讓您在前端服務和資源服務不在相同網域中時提供限制委派。 服務系統管理員可以指定前端服務的網域帳戶,以在資源服務的帳戶物件上模擬使用者,以設定新的委派。
這項變更會增加什麼價值?
服務可以使用限制委派來向其他網域中的伺服器進行驗證,而不是使用不受限制的委派。 這為使用現有 Kerberos 基礎結構的跨網域服務解決方案提供驗證支援,而不需要信任前端服務來委派給任何服務。
這也將伺服器是否應該信任委派的身份來源的決定,從委派網域管理員轉移至資源擁有者。
有什麼不同?
基礎通訊協定中的變更允許跨網域的限制委派。 Kerberos 通訊協定的 Windows Server 2012 R2 和 Windows Server 2012 實作包含使用者對 Proxy 服務 (S4U2Proxy) 通訊協定的延伸模組。 此為一套 Kerberos 通訊協定的擴充,讓服務能夠利用使用者的 Kerberos 服務票證,從金鑰分發中心 (KDC) 獲取後端服務的服務票證。
如需有關這些延伸的實作資訊,請參閱 MSDN 中的 [MS-SFU]:Kerberos 通訊協定延伸:Service for User 與限制委派通訊協定規格。
相較於 Service for User (S4U) 延伸,如需有關含轉送票證授權票證 (TGT) 之 Kerberos 委派基本訊息順序的詳細資訊,請參閱 1.3.3 通訊協定概觀 一節,位於<[MS-SFU]:Kerberos 通訊協定延伸:Service for User 與限制委派通訊協定規格>中。
資源型限制委派的安全影響
資源型限制委派會將委派控制權交給擁有所存取資源的管理員。 這取決於資源服務的屬性,而不是信任委派的服務。 因此,以資源為基礎的限制委派無法使用先前控制通訊協定轉換的 Trusted-to-Authenticate-for-Delegation 位。 當執行基於資源的限制委派時,KDC 一律允許通訊協定轉換,就好像位元已經設置一樣。
因為 KDC 不會限制通訊協定轉換,所以兩個新的已知 SID 會將此控制權提供給資源系統管理員。 這些 SID 會識別通訊協定轉換是否已發生,而且可以搭配標準存取控制清單使用,視需要授與或限制存取權。
| SID | Description |
|---|---|
| AUTHENTICATION_AUTHORITY_ASSERTED_IDENTITY S-1-18-1 |
表示用戶端身份識別的 SID 是由身份驗證機構根據客戶端憑證持有的證明來確認。 |
| SERVICE_ASSERTED_IDENTITY S-1-18-2 |
表示用戶端身分識別的 SID 是由服務來判斷。 |
後端服務可以使用標準 ACL 運算式來判斷使用者的驗證方式。
如何設定資源型限制委派?
若要設定資源服務,讓前端服務代表使用者存取資源,請使用 Windows PowerShell Cmdlet。
若要擷取主體清單,請使用 Get-ADComputer、 Get-ADServiceAccount 和 Get-ADUser Cmdlet 搭配 Properties PrincipalsAllowedToDelegateToAccount 參數。
若要設定資源服務,請使用 New-ADComputer、 New-ADServiceAccount、 New-ADUser、 Set-ADComputer、 Set-ADServiceAccount 和 Set-ADUser Cmdlet 搭配 PrincipalsAllowedToDelegateToAccount 參數。