Une chose à noter est que Les contrôleurs de domaine, par défaut, sont configurés avec une délégation sans contrainte. Ceci est nécessaire, et puisque vos contrôleurs de domaine devraient être beaucoup plus sécurisés qu'un serveur d'applications aléatoire hébergeant un service, cela ne devrait pas poser de problème.
Pourquoi les contrôleurs de domaine ont-ils une délégation illimitée ?
La délégation sans contrainte est un privilège que les administrateurs de domaine peuvent attribuer à un ordinateur du domaine ou à un utilisateur … La mise en cache du TGT permet au système de vérifier que l'utilisateur s'est déjà authentifié sans demander de nouveau -authentication et peut usurper l'identité de l'utilisateur authentifié pour accéder à tout autre service.
Que signifie la délégation sans contrainte ?
Délégation illimitée: Le premier serveur de saut (disons le serveur Web) peut emprunter l'identité de l'utilisateur à n'importe quel service du domaine. … Délégation contrainte: le premier serveur de saut ne peut emprunter l'identité de l'utilisateur qu'aux comptes de service spécifiés.
Pourquoi la délégation sans contrainte est-elle mauvaise ?
L'exploitation de la délégation sans contrainte implique qu'on force un utilisateur privilégié à se connecter au système avec la délégation activée. mais avant de faire cela, nous configurons Rubeus sur la machine que nous avons compromis pour écouter les connexions authentifiées entrantes.
Qu'est-ce que la délégation contrainte et non contrainte ?
Le but de la délégation contrainte est de limiter l'accès d'une machine/compte de délégation à des services spécifiques tout en se faisant passer pour des utilisateurs, contrairement à la délégation sans contrainte qui permet la délégation à tous les services.