# Constrained Delegation {% hint style="info" %} Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: . ¡Te esperamos para empezar este viaje juntos! {% endhint %} {% hint style="success" %} **OBJETIVO DEL EJERCICIO #19:** Utilizando los privilegios del usuario:`constrained.user`. \ Se debe comprometer a First-DC.\ Este ejercicio deberia ser realizado desde el servidor de USER-SERVER.\ Para realizarlo es suficiente tener encendido UNICAMENTE USER-SERVER y First-DC. {% endhint %} La delegación restringida (Constrained Delegation) en Active Directory es una característica de seguridad diseñada para permitir a un servicio (un servidor o una aplicación) obtener tickets Kerberos en nombre de un usuario, pero limitando esa capacidad a servicios específicos y predefinidos. Esta característica fue introducida para proporcionar mayor seguridad y control sobre el proceso de delegación de credenciales entre servicios en un entorno de red. ### **Cómo funciona la Delegación Restringida:** Cuando un usuario se autentica en un servicio que tiene configurada la delegación restringida, ese servicio puede solicitar tickets de servicio (service tickets) a otros servicios en nombre del usuario. Sin embargo, sólo puede solicitar tickets para los servicios específicos que han sido definidos explícitamente en la configuración de delegación de ese servicio. Esto previene el uso indebido de la delegación para acceder a cualquier servicio dentro del dominio. ### **Tipos de Delegación Restringida:** Existen dos modos principales de delegación restringida: 1. **Delegación Restringida con TGT (Trusted to Authenticate for Delegation):** En este modo, el servicio no puede solicitar tickets de servicio en nombre de un usuario a menos que el usuario haya autenticado directamente al servicio que está realizando la delegación. Esto es más seguro porque requiere una autenticación inicial con el servicio que delega. 2. **Delegación Restringida sin TGT (Kerberos Only):** Aquí, el servicio puede solicitar tickets para otros servicios especificados en la lista de servicios permitidos sin que el usuario se autentique directamente con el servicio que delega. 3. **Seguridad y Riesgos:** La delegación restringida, aunque más segura que la delegación no restringida (Unconstrained Delegation), aún presenta riesgos si un atacante obtiene el control de la cuenta del servicio que puede delegar. Con este control, el atacante puede acceder a otros servicios como si fuera el usuario autenticado. Por lo tanto, es fundamental restringir el uso de la delegación a cuentas de servicios necesarias y monitorear estas cuentas de manera continua. ### **Mitigaciones:** * Se recomienda utilizar la delegación basada en recursos (Resource-Based Constrained Delegation) introducida en Windows Server 2012, que permite una configuración más segura y detallada. * Realizar auditorías y revisión de las configuraciones de delegación periódicamente para evitar exponer servicios sensibles. * Implementar políticas de acceso de menor privilegio y segregar servicios en redes para minimizar el impacto en caso de una violación de seguridad. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://books.spartan-cybersec.com/cpad/vulnerabilidades-y-ataques-en-ad/constrained-delegation.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.