Language:
Kerberos プロトコルは Active Directory のセキュリティの中核をなすもので、選択したサーバーにユーザー資格情報を再利用する許可を与えます。攻撃者はこの選択したサーバーの 1 つを侵害すると、その資格情報を盗み、他のリソースで認証を得るために使用します。
ドメインコントローラーアカウントのみが無制限の委任を利用できるように限定する必要があります。また、管理者があらゆる危険な委任タイプから保護されている必要もあります。
無制限のKerberos委任(または1台のサーバーが侵害された場合にどのようにドメインが侵害されるか)
Get rid of accounts that use Kerberos Unconstrained Delegation
Abusing Resource-Based Constrained Delegation to Attack Active Directory