Comprar curso YouTube Twitter LinkedIn

Constrained Delegation

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: https://wa.link/ej3kiu. ¡Te esperamos para empezar este viaje juntos!

OBJETIVO DEL EJERCICIO #19:

Utilizando los privilegios del usuario:constrained.user. Se debe comprometer a First-DC. Este ejercicio deberia ser realizado desde el servidor de USER-SERVER. Para realizarlo es suficiente tener encendido UNICAMENTE USER-SERVER y First-DC.

La delegación restringida (Constrained Delegation) en Active Directory es una característica de seguridad diseñada para permitir a un servicio (un servidor o una aplicación) obtener tickets Kerberos en nombre de un usuario, pero limitando esa capacidad a servicios específicos y predefinidos. Esta característica fue introducida para proporcionar mayor seguridad y control sobre el proceso de delegación de credenciales entre servicios en un entorno de red.

Cómo funciona la Delegación Restringida:

Cuando un usuario se autentica en un servicio que tiene configurada la delegación restringida, ese servicio puede solicitar tickets de servicio (service tickets) a otros servicios en nombre del usuario. Sin embargo, sólo puede solicitar tickets para los servicios específicos que han sido definidos explícitamente en la configuración de delegación de ese servicio. Esto previene el uso indebido de la delegación para acceder a cualquier servicio dentro del dominio.

Tipos de Delegación Restringida:

Existen dos modos principales de delegación restringida:

  1. Delegación Restringida con TGT (Trusted to Authenticate for Delegation): En este modo, el servicio no puede solicitar tickets de servicio en nombre de un usuario a menos que el usuario haya autenticado directamente al servicio que está realizando la delegación. Esto es más seguro porque requiere una autenticación inicial con el servicio que delega.

  2. Delegación Restringida sin TGT (Kerberos Only): Aquí, el servicio puede solicitar tickets para otros servicios especificados en la lista de servicios permitidos sin que el usuario se autentique directamente con el servicio que delega.

  3. Seguridad y Riesgos: La delegación restringida, aunque más segura que la delegación no restringida (Unconstrained Delegation), aún presenta riesgos si un atacante obtiene el control de la cuenta del servicio que puede delegar. Con este control, el atacante puede acceder a otros servicios como si fuera el usuario autenticado. Por lo tanto, es fundamental restringir el uso de la delegación a cuentas de servicios necesarias y monitorear estas cuentas de manera continua.

Mitigaciones:

  • Se recomienda utilizar la delegación basada en recursos (Resource-Based Constrained Delegation) introducida en Windows Server 2012, que permite una configuración más segura y detallada.

  • Realizar auditorías y revisión de las configuraciones de delegación periódicamente para evitar exponer servicios sensibles.

  • Implementar políticas de acceso de menor privilegio y segregar servicios en redes para minimizar el impacto en caso de una violación de seguridad.

AnteriorTrustedToAuthForDelegation vs TrustedForDelegationSiguienteUsuario

Última actualización