危險 Kerberos 委派
critical
語系:
說明
Kerberos 通訊協定為 Active Directory 安全的核心,其允許選定伺服器重複使用使用者憑證。若攻擊者入侵其中一個伺服器,則可竊取其憑證並用來在其他資源上進行驗證。
解決方案
唯一使用非限制委派的帳戶應是網域控制器帳戶。還應保護管理員不受任何危險委派類型的影響。
另請參閱
Kerberos 非限制委派 (或「入侵單一伺服器如何使攻擊者能夠入侵網域」)
Get rid of accounts that use Kerberos Unconstrained Delegation
Abusing Resource-Based Constrained Delegation to Attack Active Directory