Yazar: Onur Savaş
Microsoft, kullanıcıların Kerberos aracılığıyla bir sistemde kimlik doğrulaması yaptığı ve bilgilerin başka bir sistemde güncellenmesi gerektiği senaryoları desteklemek için kısıtlamasız delegasyon uygulamıştır. Bu, Windows 2000’den beri Windows ekosistemlerinde uygulanmaktadır. Kısıtlamasız yetkilendirme için yapılandırılan sistemler, kullanıcının son kaynağa erişmesini sağlamak amacıyla LSASS belleğinde saklanan TGT’ye (Bilet Verme Bileti) sahip olacaktır.
Daha spesifik olarak, etki alanı denetleyicisi kullanıcının TGT’sinin bir kopyasını hizmet biletine yerleştirir. Kullanıcının hizmet bileti (TGS) hizmet erişimi için sunucuya verildiğinde sunucu TGS’yi açar ve kullanıcının TGT’sini daha sonra kullanmak üzere LSASS’a yerleştirerek sunucunun kullanıcının kimliğine bürünmesini sağlar. Bilet, etki alanı denetleyicisinin makine hesabına veya etki alanı yöneticisi gibi yüksek ayrıcalıklı bir hesaba ait olabileceğinden, biletin elde edilmesi etki alanı yükseltmesine yol açabilir.
Kısıtlanmamış yetkilendirmeden kaynaklanan riski azaltmak için aşağıdakilerin yapılması önerilir:
- Birçok durumda, kısıtlanmamış temsilci atama yanlışlıkla etkinleştirilmiştir ve tamamen devre dışı bırakılabilir ya da kısıtlı temsilci atamaya veya kaynak tabanlı kısıtlı temsilci atamaya dönüştürülebilir.
- Bir etki alanı denetleyicisinde (DC) kısıtlı temsilci yapılandırmanın önerilmediğini unutmayın, çünkü kısıtlı temsilci hesabını ele geçiren bir saldırgan DC’deki herhangi bir hizmet için herhangi bir kullanıcının kimliğine bürünebilir.
- Hassas hesapların temsilci seçiminde kullanılmasını önlemek için “Bu hesap hassas ve temsilci seçilemez” seçeneğini kullanın.
- Ayrıcalıklı kullanıcıları Korumalı Kullanıcılar grubuna yerleştirin. Bu, temsilci olarak kullanılmalarını önlemeye yardımcı olur ve kimlik doğrulaması yaptıktan sonra TGT’lerini bilgisayardan uzak tutar.
- Temsilci atanan hesapların etkinliğini yakından izleyin. Herhangi bir temsilci türünün yapılandırıldığı ve kullanıldığı tüm sistemler şüpheli etkinliklere karşı izlenmelidir.
- Herhangi bir DC dışı hesap için kısıtlanmamış temsilci gerekmiyorsa, herkesin msDS-AllowedToActOnBehalfOfOtherIdentity özniteliğini düzenlemesini engelleyen bir erişim denetimi girdisi oluşturarak kısıtlanmamış temsilciyi yapılandırmayı ve değiştirmeyi devre dışı bırakın.
- SeEnableDelegationPrivilege yetkisini yalnızca etki alanı yöneticileri gibi hizmetler için temsilci atama yetkisi gerektiren kullanıcılara atayın.
- Mümkün olduğunda makine hesabı kotasını sıfıra indirin. Bu, SeEnableDelegationPrivilege atanan kullanıcıların bir bilgisayar hesabı oluşturmasını ve bunu kısıtlanmamış temsilcilikten yapılandırmasını önler.
