iis-7.5 – Kerberos委派的风险

>约束委派可以在没有用户凭据或身份验证令牌的情况下进行模拟.有关示例,请参阅此answer.
>在更典型的肉和土豆无约束委派方案中,无论是Windows集成身份验证还是表单身份验证,具有对用户身份验证令牌的委派访问权限都非常强大.字面意思是令牌可用于模拟该用户访问任何网络资源.参与该过程的任何人(例如开发人员)都可以以恶意的方式使用它来获取未经授权的访问.

在这两个示例中,如果选中“帐户敏感且无法委派”复选框,则这些不是安全问题.也可以构建一个系统/功能,这些功能确实存在,但是受到严格控制.

应该检查该框的管理帐户,例如Enterprise Admins组的成员,因为(希望)这些帐户很少需要使用需要模拟的应用程序.对于能够访问敏感信息的高级管理人员来说,这也是一个好主意,例如首席信息官,首席运营官,财务/财政部负责人等.

因此,最重要的是,微软提供了复选框和附带警告的原因非常充分,除非可以证明特定情况没有不良风险或某些补偿控制,否则不应该被忽略或轻视.这通常涉及一些未参与实际实施或开发应用程序或系统的合格人员进行审查.