Какие риски связаны с использованием неограниченного делегирования в Active Directory?

Некоторые риски, связанные с использованием неограниченного делегирования в Active Directory:

• Кража учётных данных. blog.tiger-optics.com Когда пользователь производит аутентификацию на сервере, доверенном для делегирования, копия его учётных данных отправляется на этот сервер контроллером домена. blog.tiger-optics.com Злоумышленники могут взломать уязвимые серверы с доверенным делегированием и получить все учётные данные, необходимые для контролирования домена. blog.tiger-optics.com
• Подмена имени пользователя. rezbez.ru www.semperis.com Злоумышленник, обладающий привилегированным доступом на скомпрометированном узле, на котором разрешено неограниченное делегирование, может использовать механизм протокола Kerberos для получения доступа к ресурсам без знания пароля. rezbez.ru В итоге злоумышленник может получить доступ к ресурсам, для которых настроено делегирование. rezbez.ru
• Латеральное перемещение по сети. www.semperis.com blog.tiger-optics.com Неограниченное делегирование может использоваться злоумышленниками для маскировки вредоносной активности, имитируя легитимного пользователя. www.semperis.com

Чтобы снизить риски, связанные с использованием неограниченного делегирования, рекомендуется минимизировать его применение и перейти к механизмам ограниченного делегирования. ardent101.github.io