High Privileged Accounts Not Marked as Sensitive

IT-Sicherheit ist ein sehr wichtiges wichtiges Thema geworden.

Wo fängt man an und wo hört man auf?

Am besten man besseitigt so viele Lücken wie möglich 🙂

 

Hier eine von diesen Lücken:

If an account has “Account is sensitive and cannot be delegated” set, then its credentials cannot be reused by a trusted service. This is called “Kerberos constrained delegation”. Kerberos Delegation is a feature that allows an application to reuse the end-user credentials to access resources hosted on a different server. If a trusted computer is compromised the trusted application could act on behalf of a user to perform malicious activity.

Test:

PS C:\> Get-ADUser -Filter {AccountNotDelegated -eq $true} -Server %Domain% | select canonicalname

Share Button

Ersten Kommentar schreiben

Antworten

Ihre E-Mail-Adresse wird nicht veröffentlicht.


*