Cuando haces Kerberos Restricción Delegada (o cualquier cosa antes de Delegación basada en recursos ) en Windows, asigna derechos de delegación a la identidad del proceso que acepta los tickets de kerberos del salto de entrada.
En resumen, si el proceso se ejecuta como un usuario del dominio, ese usuario necesita la delegación habilitada. Si se ejecuta como una identidad de tipo de sistema, la computadora lo hace. Pero siempre debe restringir la delegación, o usar el modelo de delegación basado en recursos más reciente (donde en lugar de identificar los SPN de back-end, identifique las Identidades de front-end que pueden delegar a la identidad del servicio de destino desde la identidad del servicio de destino).
La delegación
no restringida es una mala idea. Podría considerarse mejor como una solución provisional en Windows 2000 que ganó restricciones rápidamente en Windows Server 2003. Permite la suplantación de identidad de cualquier principal de servicio calificado (lea: Usuario o ordenador) a otro servicio, sin restricciones. Obtenga el boleto de alguien, haga cualquier cosa que pueda hacer, de modo que el control de un conjunto de servicios con delegación no restringida significa el control de cualquier usuario conectado.
Para las aplicaciones web de IIS, eso generalmente significa la cuenta del grupo de aplicaciones: la identidad básica (que no tiene suplantación de cliente) de los procesos w3wp.exe asociados con ese grupo de aplicaciones. Si el grupo de aplicaciones se ejecuta como LocalSystem (no haga eso), Local Service , Network Service o ApplicationPoolIdentity , entonces la identidad utilizada para decodificar los tickets y la delegación de bordillos es la cuenta de la computadora. (Un par de otras advertencias como UseAppPoolCredential = true o UseKernelMode = false también pueden hacer que se use una identidad de usuario no personalizada para intentar descodificar un ticket, pero eso está fuera del alcance).
A cualquier Principal de Seguridad se le pueden asignar derechos de delegación. Al dar a cualquier objeto de usuario un Nombre principal del servicio (SPN, use SetSPN.exe), que las computadoras tienen de forma predeterminada (HOST / nombre de computadora), se habilitará la pestaña Delegación en DSA.msc.
Una excepción a lo anterior es Cuentas de servicio administradas por grupo (gMSAs), que debe ser su primera opción para cualquier servicio nuevo que use una identidad de dominio para ejecutar un servicio, ya que administra de forma automática su contraseña compleja, lo que impide su fácil uso a largo plazo. ataques de contraseña en la cuenta misma.