Usuario
La delegación restringida (Constrained Delegation) en Active Directory se puede configurar para cuentas de usuario y cuentas de computadora. Vamos a explorar cómo funciona esto para ambos tipos de cuentas:
Constrained Delegation en Cuentas de Usuario
Cuando configuramos la delegación restringida para una cuenta de usuario, estamos especificando que esta cuenta de usuario tiene permiso para delegar credenciales a ciertos servicios predefinidos. Esto es útil en escenarios de aplicaciones intermedias o servicios que operan en nombre del usuario final. Un ejemplo sería una aplicación web que necesita acceder a una base de datos en nombre del usuario. En este caso, la aplicación web se autentica contra AD usando Kerberos, y luego utiliza la identidad del usuario autenticado para obtener acceso al servicio de la base de datos.
Esta vulnerabilidad fue previamente detectada con el resultado de ADPeas
[?] +++++ Searching for User with Constrained Delegation Rights +++++
[!] Found constrained delegation rights for User 'constrained.user':
sAMAccountName: constrained.user
distinguishedName: CN=constrained.user,CN=Users,DC=spartancybersec,DC=corp
objectSid: S-1-5-21-1861162130-2580302541-221646211-1115
[+] msDS-AllowedToDelegateTo: CIFS/First-DC.spartancybersec.corp/spartancybersec.corp
CIFS/First-DC.spartancybersec.corp
CIFS/First-DC
pwdLastSet: 09/29/2023 02:03:21
lastLogonTimestamp: 09/29/2023 02:03:21
userAccountControl: NORMAL_ACCOUNTÚltima actualización
¿Te fue útil?