Едно нещо, което трябва да се отбележи е, че Домейн контролерите по подразбиране са конфигурирани с неограничено делегиране. Това е задължително и тъй като контролерите на домейни трябва да са много по-сигурни от произволен сървър на приложения, хостващ услуга, не би трябвало да е проблем.
Защо контролерите на домейни имат неограничено делегиране?
Неограничено делегиране е привилегия, която администраторите на домейна могат да присвоят на компютър с домейн или потребител … Кеширането на TGT позволява на системата да провери дали потребителят вече е удостоверен, без да изисква повторно -удостоверяване и може да се представя за удостоверения потребител за достъп до всякакви други услуги.
Какво означава неограничено делегиране?
Неограничено делегиране: Първият сървър за хоп (да речем уеб сървъра) може да се представя за потребителски идентификационни данни за всяка услуга в домейна. … Ограничено делегиране: Първият хоп сървър може да се представя само за потребителските идентификационни данни за посочените акаунти за услуги.
Защо неограниченото делегиране е лошо?
Експлоатацията на неограничено делегиране предполага че принуждаваме привилегирован потребител да се свърже със системата с активирано делегиране. но преди да направим това, ние настройваме Rubeus на машината, която направихме компромис, за да слушаме за входящи удостоверени връзки.
Какво е ограничено и неограничено делегиране?
Целта на ограниченото делегиране е да ограничи достъпа на машина за делегиране/акаунт до конкретни услуги, докато се представя за потребители, за разлика от неограниченото делегиране, което позволява делегиране на всички услуги.
