Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Délégation sans contrainte

Délégation sans contrainte

Dec 2, 2022

La délégation sans contraintes représente un risque sérieux pour la cybersécurité. En prenant des mesures pour abuser des contrôles de délégation Active Directory appliqués aux objets utilisateurs et ordinateurs dans un environnement AD, un attaquant peut se déplacer latéralement et même prendre le contrôle du domaine.

Contenu connexe sélectionné :

Cet article de blog explore ce domaine d'attaque (délégation non contrainte) et propose aux équipes de sécurité et aux administrateurs des stratégies efficaces pour atténuer ce risque de sécurité.

Qu'est-ce que la délégation sans contrainte ?

La délégation permet à un utilisateur ou à un ordinateur d'usurper l'identité d'un autre compte afin d'accéder à des ressources (telles que des serveurs de bases de données en back-end). La délégation a plusieurs applications pratiques, que Microsoft aborde dans cet article de blog.

En utilisant l'onglet Délégation sur un compte d'utilisateur ou d'ordinateur, vous pouvez configurer soit une délégation non contrainte soit une délégation contrainte :

  • En sélectionnant « Faire confiance à cet ordinateur pour la délégation à n'importe quel service (Kerberos delegation uniquement), » vous activez unconstrained
  • Alternativement, vous pouvez restreindre les services que l'utilisateur ou l'ordinateur peut usurper en spécifiant des noms de principal de service (SPN) particuliers, ce qui constitue une constrained delegation.

Image

Notez qu'une autre option est la resource-based constrained delegation (RBCD), dans laquelle la délégation est configurée sur la ressource, plutôt que sur les comptes accédant à la ressource. RBCD peut être mis en place à l'aide de Windows PowerShell.

Quels sont les risques de la délégation sans contraintes ?

Plusieurs attaques peuvent être perpétrées contre la délégation non contrainte : certaines sont couvertes dans ce billet de blog par harmj0y et Sean Metcalf en décrit d'autres. Explorons-en quelques-unes.

Exemple 1 : Abuser de la délégation non contrainte pour compromettre une forêt AD entière

Des chercheurs en sécurité ont montré comment un attaquant qui compromet une machine avec une délégation non contrainte dans une forêt peut compromettre une autre forêt et tous les domaines qu'elle contient. Si vous avez une confiance bidirectionnelle en place, un attaquant peut utiliser le bogue de l'imprimante MS-RPRN pour amener un DC à renvoyer des informations d'authentification à l'attaquant, lui permettant d'utiliser DCSync pour compromettre le domaine de confiance. Par exemple, si votre entreprise a acquis une petite entreprise et a joint son domaine au vôtre, un attaquant qui compromet un système dans le petit environnement pourrait prendre le contrôle de toute la forêt de votre entreprise, ce qui n'est définitivement pas bon.

Un article de la KB a été publié pour fournir un correctif à ce bogue, et dans Windows Server 2012 et versions ultérieures, il existe un paramètre de sécurité pour l'empêcher, mais il se peut qu'il ne soit pas activé par défaut.

Exemple 2 : Exploiter la délégation non contrainte pour permettre le mouvement latéral

Voici un autre scénario. Si la délégation non restreinte est activée pour un ordinateur, alors chaque fois qu'un compte se connecte à cet ordinateur, son ticket-granting ticket (TGT) du Key Distribution Center (KDC) est stocké en mémoire pour une utilisation ultérieure par l'ordinateur. Si la machine est compromise, l'adversaire peut obtenir ce TGT et l'utiliser à mauvais escient pour causer beaucoup de dégâts — surtout si le TGT appartient à un utilisateur hautement privilégié.

Par exemple, supposons qu'un administrateur de domaine accède à un ordinateur particulier via le système de fichiers Internet commun (CIFS) en accédant à un dossier partagé. Sans la délégation non restreinte activée, seul le serveur d'émission de tickets (TGS) serait stocké en mémoire ; ce ticket ne donne accès qu'au service CIFS sur la machine locale, donc un adversaire ne peut pas l'utiliser pour se déplacer latéralement. Nous pouvons voir cela en utilisant la commande Mimikatz sekurlsa::tickets /export, qui ne retourne que le ticket de service de l'utilisateur (TGS) :

Image

Toutefois, si la délégation non contrainte est activée, la commande renvoie le TGT pour le compte administrateur, qu'un adversaire peut utiliser dans une attaque Pass-the-Ticket pour compromettre l'ensemble du domaine.

Image

Pour récolter des TGTs de tout utilisateur qui se connecte au système, l'adversaire peut utiliser la commande PowerSpoit suivante :

Image

Droits requis pour activer la délégation sans contrainte

Pour pouvoir gérer les contrôles de délégation d'un objet, un utilisateur a besoin des droits suivants :

  • SeEnableDelegationPrivilege, un droit utilisateur est contrôlé par la politique de sécurité locale d'un contrôleur de domaine et géré via le paramètre de stratégie de groupe « Autoriser les comptes d'ordinateurs et d'utilisateurs à être approuvés pour la délégation », comme illustré ci-dessous
  • Capacité de mettre à jour les attributs msDS-AllowedToDelegateTo et userAccountControl d'un ordinateur, où ce paramètre de Group Policy setting est stocké

Image

Trouver une délégation sans contrainte

Pour découvrir où la délégation sans contrainte a été activée, vous pouvez utiliser le script PowerShell suivant. Il vérifiera la valeur du Contrôle de Compte d'Utilisateur (UAC) de tous les ordinateurs pour voir où la délégation est activée sans restrictions.

Image

Vous voudrez peut-être aussi examiner qui a reçu le droit SeEnableDelegationPrivilege. Pour ce faire, vous pouvez utiliser PowerSploit et la commande Get-DomainPolicy.

Meilleures pratiques pour réduire le risque lié à la délégation sans contraintes

Pour réduire le risque lié à la délégation sans contraintes, il est recommandé de :

  • Enquêtez pour savoir si la délégation non contrainte est réellement nécessaire. Dans de nombreux cas, la délégation non contrainte a été activée par erreur et peut être soit complètement désactivée, soit convertie en délégation contrainte ou en délégation contrainte basée sur les ressources. Gardez à l'esprit qu'il n'est pas recommandé de configurer la délégation contrainte pour un contrôleur de domaine (DC), car un attaquant qui compromet un compte avec délégation contrainte pourra usurper l'identité de n'importe quel utilisateur pour n'importe quel service sur le DC.
  • Utilisez l’option « This account is sensitive and cannot be delegated » pour empêcher que les comptes sensibles soient utilisés dans la délégation.
  • Placez les utilisateurs privilégiés dans le groupe Protected Users. Cela aide à les empêcher d'être utilisés dans la délégation et conserve leurs TGT hors de l'ordinateur après leur authentification.
  • Surveillez attentivement l'activité des comptes délégués. Tous les systèmes où un type quelconque de délégation est configuré et utilisé doivent être surveillés pour détecter toute activité suspecte.

Comment Netwrix peut-il aider ?

La délégation sans contrainte est l'un des nombreux vecteurs d'attaque que les malfaiteurs peuvent exploiter pour accéder et se maintenir dans votre environnement Active Directory. Avec la solution Netwrix Active Directory Security Solution, vous serez capable de :

  • Découvrez les risques de sécurité, y compris la délégation inutile, les permissions excessives, les privilèges permanents et les mauvaises configurations de GPO, et priorisez vos efforts d'atténuation.
  • Établissez des configurations sécurisées dans l'ensemble de votre infrastructure informatique et maintenez-les en identifiant et en remédiant à tout changement inapproprié par rapport à votre base de référence renforcée.
  • Détectez et répondez rapidement aux menaces avancées, telles que le Kerberoasting, le DCSync, l'extraction de dit et les attaques de Golden Ticket.
  • Automatisez la réponse aux attaques connues pour minimiser les dégâts.
  • Assurez une récupération rapide d'Active Directory en cas de violation de sécurité ou d'autre incident.

FAQ

Quels types de délégation sont disponibles dans Active Directory ?

Il existe 3 types de délégation que votre organisation peut utiliser :

  • Délégation sans contrainte
  • Délégation restreinte
  • Délégation contrainte basée sur les ressources (RBCD)

Qu'est-ce que la délégation contrainte basée sur les ressources (RBCD) ?

Avec RBCD, un administrateur propriétaire d'une ressource peut déléguer l'accès à celle-ci.

Comment puis-je configurer RBCD ?

Pour configurer un service de ressource afin de permettre l'accès au nom des utilisateurs, vous pouvez utiliser les cmdlets de Windows PowerShell (New-ADComputer, New-ADServiceAccount, New-ADUser, Set-ADComputer, Set-ADServiceAccount et Set-ADUser) avec le paramètre PrincipalsAllowedToDelegateToAccount.

Demandez un essai gratuit de Netwrix Directory Manager

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

RBAC contre ABAC : Lequel choisir ?

Top 11 des solutions d'Identity and Access Management (IAM) pour votre entreprise

Plongée approfondie dans les rôles et les permissions de NetSuite

Comment trouver votre NetSuite Account ID

Contrôle d'accès basé sur les attributs (ABAC) : Un guide complet

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité