Należy zauważyć, że Kontrolery domeny są domyślnie skonfigurowane z nieograniczoną delegacją. Jest to wymagane, a ponieważ kontrolery domeny powinny być znacznie bezpieczniejsze niż losowy serwer aplikacji obsługujący usługę, nie powinno to stanowić problemu.
Dlaczego kontrolery domeny mają nieograniczone delegowanie?
Nieograniczone delegowanie to uprawnienie, które administratorzy domeny mogą przypisać do komputera domeny lub użytkownika … Buforowanie biletu TGT umożliwia systemowi sprawdzenie, czy użytkownik został już uwierzytelniony, bez żądania ponownego - uwierzytelnianie i może podszywać się pod uwierzytelnionego użytkownika, aby uzyskać dostęp do innych usług.
Co oznacza nieograniczone delegowanie?
Nieograniczona delegacja: Pierwszy serwer przeskoku (powiedzmy serwer sieciowy) może personifikować dane uwierzytelniające użytkownika w dowolnej usłudze w domenie. … Ograniczone delegowanie: pierwszy serwer przeskoków może personifikować tylko poświadczenia użytkownika do określonych kont usługi.
Dlaczego nieograniczone delegowanie jest złe?
Wykorzystanie nieograniczonej delegacji implikuje że zmuszamy uprzywilejowanego użytkownika do połączenia się z systemem z włączoną delegacją. ale zanim to zrobimy, konfigurujemy Rubeusa na maszynie, którą skompromitowaliśmy, aby nasłuchiwał przychodzących uwierzytelnionych połączeń.
Co to jest ograniczona i nieograniczona delegacja?
Celem ograniczonej delegacji jest ograniczenie dostępu maszyny/konta delegującego do określonych usług podczas podszywania się pod użytkowników, w przeciwieństwie do nieograniczonej delegacji, która umożliwia delegowanie do wszystkich usług.