Некоторые риски, связанные с использованием неограниченного делегирования в Active Directory:

• Кража учётных данных. 5 Когда пользователь производит аутентификацию на сервере, доверенном для делегирования, копия его учётных данных отправляется на этот сервер контроллером домена. 5 Злоумышленники могут взломать уязвимые серверы с доверенным делегированием и получить все учётные данные, необходимые для контролирования домена. 5
• Подмена имени пользователя. 13 Злоумышленник, обладающий привилегированным доступом на скомпрометированном узле, на котором разрешено неограниченное делегирование, может использовать механизм протокола Kerberos для получения доступа к ресурсам без знания пароля. 1 В итоге злоумышленник может получить доступ к ресурсам, для которых настроено делегирование. 1
• Латеральное перемещение по сети. 35 Неограниченное делегирование может использоваться злоумышленниками для маскировки вредоносной активности, имитируя легитимного пользователя. 3

Чтобы снизить риски, связанные с использованием неограниченного делегирования, рекомендуется минимизировать его применение и перейти к механизмам ограниченного делегирования. 4