Expert Freelance indépendant Formation Kerberos Active Directory Sécurité
Expert Délégation Kerberos
Script ListTrustedForDelegation.vbs
Développement script ADSI Active Directory Kerberos
Développement script ADSI
Délégation Kerberos
Ressources
ListTrustedForDelegation.vbs 1.1
Script ADSI de report des comptes approuvés pour la délégation Kerberos.
Auteur: Emmanuel Dreux
Date de publication : 02 Septembre 2008
Développement Script ADSI Délégation Kerberos
Développement Script ADSI Kerberos Active Directory
Description
Ce script liste les comptes de l'active directory marqués Trusted For Delegation.
Les comptes approuvés pour la délégation sont des comptes sensibles et leur liste doit être soigneusement monitorée. Ces comptes sont utilisés dans le cadre de la mise en place de la délégation Kerberos.
Une application cliente se connecte à une application serveur (Frontal) qui accède à des données avec l'identité de l'utilisateur de l'application cliente. On dit que l'utilisateur a délégué ses informations d'authentification.
Le frontal peut alors accéder par défaut à n'importe quelle ressource à laquelle l'utilisateur de l'application cliente est autorisé à accéder. Cela peut être un accès à des données d'une base SQL, mais également l'accès à des fichiers, voire même un accès à la boite aux lettres Exchange de l'utilisateur.
Par défaut, les comptes de service n'ont pas le droit d'impersonnifier un client. Seuls les comptes marqués dans l'AD comme "Trusted for delegation" (c'est à dire approuvés pour la délégation) y sont autorisés. De plus, une restriction dans l'AD (les contraintes de délégation, Constrained delegation en anglais) permet de limiter les ressources auxquelles un compte approuvé pour la délégation peut accéder.
Suite à une intrusion, un utilisateur malicieux peut développer un service et l'exécuter avec un compte approuvé pour la délégation. Tout utilisateur qui se connecte à ce service lui donne alors l'autorisation de se connecter à ses ressource.
Nul besoin d'être un développeur confirmé ou un pirate de génie. Une simple page ASP installée pour s'exécuter dans le contexte d'un pool d'application qui s'exécute sous un compte de domaine approuvé pour la délégation suffit... Et ça peut être complètement indétectable...
Il est donc important que la liste des comptes approuvés pour la délégation soit consciencieusement surveillée et fréquemment revue par les équipes de sécurité. Ce script permet de générer une liste de comptes approuvés pour la délégation.
Par défaut, seuls les comptes d'ordinateur contrôleurs de domaine sont approuvés pour la délégation.