深入解析域渗透中的约束委派

Windows 2003引入约束委派以增强安全性

在Windows 2003中，微软因应非约束委派的安全隐患，推出了约束委派功能。约束委派通过Kerberos协议加强了服务间委派的安全控制。本文将深入探讨约束委派如何工作，其引入的新概念S4U2Self和S4U2Proxy，以及如何查询和利用约束委派。

理解约束委派与Kerberos协议

在约束委派模式下，服务不允许仅凭借用户的TGT（票据授权票据）访问任意其他服务。这种限制由S4U2Proxy扩展实施，确保受委派的服务只能访问被明确允许的目标服务。

S4U2Self和S4U2Proxy简介

• S4U2Self：允许受约束的服务模拟任意用户，请求服务自身的TGS（服务票据），含有用户组信息等。
• S4U2Proxy：允许受约束服务使用S4U2Self获取的TGS代表用户请求特定服务。

如何查询和配置约束委派

查询非约束委派与约束委派：

• 非约束委派的查询可通过Get-NetUser和Get-NetComputer命令在PowerView脚本中执行。
• 约束委派的查询则利用Get-DomainUser和Get-DomainComputer命令进行。

配置约束委派：

• 域控机上为用户配置SPN（服务主体名称），进而在Active Directory中启用委派功能。
• 示例中演示了为win2016用户对win2019机器的cifs服务进行约束委派的配置。

攻击利用与防御

本部分详细描述了如何利用存在约束委派的域用户或域主机进行攻击，并成功访问域控机的共享目录。使用的工具包括kekeo和mimikatz，展示了通过S4U伪造申请TGS票据的过程。

防御策略：

• 重要用户（如administrator）应避免设置为可委派，除非有特殊需求。

结论

约束委派提供了一种安全机制，通过限制服务间委派的范围来提高安全性。理解和正确配置约束委派，以及了解其潜在的安全威胁和防御措施，对于维护网络环境的安全至关重要。