Usuario

La delegación restringida (Constrained Delegation) en Active Directory se puede configurar para cuentas de usuario y cuentas de computadora. Vamos a explorar cómo funciona esto para ambos tipos de cuentas:

Constrained Delegation en Cuentas de Usuario

Cuando configuramos la delegación restringida para una cuenta de usuario, estamos especificando que esta cuenta de usuario tiene permiso para delegar credenciales a ciertos servicios predefinidos. Esto es útil en escenarios de aplicaciones intermedias o servicios que operan en nombre del usuario final. Un ejemplo sería una aplicación web que necesita acceder a una base de datos en nombre del usuario. En este caso, la aplicación web se autentica contra AD usando Kerberos, y luego utiliza la identidad del usuario autenticado para obtener acceso al servicio de la base de datos.

Esta vulnerabilidad fue previamente detectada con el resultado de ADPeas

[?] +++++ Searching for User with Constrained Delegation Rights +++++
[!] Found constrained delegation rights for User 'constrained.user':
sAMAccountName:                         constrained.user
distinguishedName:                      CN=constrained.user,CN=Users,DC=spartancybersec,DC=corp
objectSid:                              S-1-5-21-1861162130-2580302541-221646211-1115
[+] msDS-AllowedToDelegateTo:           CIFS/First-DC.spartancybersec.corp/spartancybersec.corp
                                        CIFS/First-DC.spartancybersec.corp
                                        CIFS/First-DC
pwdLastSet:                             09/29/2023 02:03:21
lastLogonTimestamp:                     09/29/2023 02:03:21
userAccountControl:                     NORMAL_ACCOUNT