Beachten Sie, dass Domänencontroller standardmäßig mit uneingeschränkter Delegierung konfiguriert sind. Dies ist erforderlich, und da Ihre Domänencontroller viel sicherer sein sollten als ein beliebiger Anwendungsserver, der einen Dienst hostet, sollte dies kein Problem darstellen.
Warum haben Domänencontroller uneingeschränkte Delegierung?
Uneingeschränkte Delegierung ist ein Privileg, das Domain-Administratoren einem Domain-Computer oder einem Benutzer zuweisen können … Durch das Caching des TGT kann das System überprüfen, ob sich der Benutzer bereits authentifiziert hat, ohne erneut anzufordern -Authentifizierung und kann sich als authentifizierter Benutzer ausgeben, um auf andere Dienste zuzugreifen.
Was bedeutet uneingeschränkte Delegierung?
Uneingeschränkte Delegierung: Der First-Hop-Server (sagen wir der Webserver) kann Benutzeranmeldeinformationen für jeden Dienst in der Domäne imitieren. … Eingeschränkte Delegierung: Der First-Hop-Server kann nur die Benutzeranmeldeinformationen für die angegebenen Dienstkonten imitieren.
Warum ist uneingeschränktes Delegieren schlecht?
Die Ausnutzung der uneingeschränkten Delegierung impliziert, dass wir einen privilegierten Benutzer zwingen, sich mit aktivierter Delegierung mit dem System zu verbinden. Aber bevor wir das tun, richten wir Rubeus auf dem Rechner ein, den wir kompromittiert haben, um auf eingehende authentifizierte Verbindungen zu lauschen.
Was ist eingeschränkte und uneingeschränkte Delegierung?
Der Zweck der eingeschränkten Delegierung besteht darin, den Zugriff eines Delegierungscomputers/Kontos auf bestimmte Dienste zu beschränken, während er sich als Benutzer ausgibt, im Gegensatz zur uneingeschränkten Delegierung, die die Delegierung aller Dienste ermöglicht.