{"id":15795,"date":"2017-04-19T18:18:23","date_gmt":"2017-04-19T17:18:23","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=15795"},"modified":"2021-07-07T16:10:09","modified_gmt":"2021-07-07T15:10:09","slug":"compromission-domaine-windows-delegation-kerberos","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/","title":{"rendered":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos"},"content":{"rendered":"
Quelques rappels sur le protocole d\u2019authentification Kerberos<\/h2>\n
Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes (chiffrement sym\u00e9trique) et l\u2019utilisation de tickets. Il fait partie int\u00e9grante des syst\u00e8me d\u2019exploitation Windows depuis la version Serveur 2000. Diff\u00e9rents termes sp\u00e9cifiques sont utilis\u00e9s pour d\u00e9tailler ce protocole\u00a0:<\/p>\n
\n
KDC (Key Distribution Center<\/em>)\u00a0: Le KDC est un service install\u00e9 sur les contr\u00f4leurs de domaine et permettant l\u2019obtention des diff\u00e9rents tickets par un utilisateur.<\/li>\n
TGT (Ticket-Granting Ticket<\/em>) : Le TGT est un ticket attribu\u00e9 par le KDC \u00e0 un utilisateur. Ce ticket repr\u00e9sente l\u2019identit\u00e9 de l\u2019utilisateur, et lui permet d\u2019effectuer des demandes de TGS aupr\u00e8s du KDC.<\/li>\n
TGS (Ticket-Granting Service<\/em>)\u00a0: Le TGS est \u00e9galement un ticket attribu\u00e9 par le KDC pour repr\u00e9senter un utilisateur. Il permet \u00e0 l\u2019utilisateur de s\u2019authentifier aupr\u00e8s d\u2019un service sp\u00e9cifique, dont le nom est inscrit dans le ticket. Un exemple d\u2019un tel ticket est le suivant\u00a0:<\/li>\n<\/ul>\n
<\/figure>\n
Le sch\u00e9ma d\u2019une authentification Kerberos classique est le suivant\u00a0:<\/p>\n
<\/figure>\n
Dans la premi\u00e8re \u00e9tape, l\u2019utilisateur envoi au contr\u00f4leur de domaine un\u00a0timestamp<\/em>\u00a0chiffr\u00e9 \u00e0 l\u2019aide du hash NTLM de son mot de passe. Ayant acc\u00e8s \u00e0 ce hash, le contr\u00f4leur de domaine, et plus pr\u00e9cis\u00e9ment le KDC, peut d\u00e9chiffrer l\u2019information re\u00e7ue et v\u00e9rifier le\u00a0timestamp<\/em>, ce qui prouve l\u2019identit\u00e9 de l\u2019utilisateur. Le KDC fournit alors \u00e0 l\u2019utilisateur son TGT (\u00e9tape 2).<\/p>\n
L\u2019utilisateur peut alors fournir le TGT pr\u00e9alablement r\u00e9cup\u00e9r\u00e9 pour effectuer une demande de TGS (\u00e9tape 3). Le TGT \u00e9tant repr\u00e9sentatif de l\u2019utilisateur, le KDC peut valider son identit\u00e9 et lui fournir un TGS pour le service demand\u00e9 (\u00e9tape 4).<\/p>\n
Enfin, l\u2019utilisateur transmet ce TGS comme preuve de son identit\u00e9 aupr\u00e8s du service (\u00e9tape 5).<\/p>\n
Dans le protocole Kerberos, ce sont donc bien les tickets qui permettent d\u2019assurer l\u2019identit\u00e9 d\u2019un utilisateur, au m\u00eame titre qu\u2019un couple nom d\u2019utilisateur \/ mot de passe le fait dans une authentification classique.<\/p>\n
Introduction aux d\u00e9l\u00e9gations Kerberos<\/h2>\n
Microsoft a introduit les d\u00e9l\u00e9gations Kerberos dans l\u2019objectif de permettre \u00e0 une application de r\u00e9utiliser l\u2019identit\u00e9 d\u2019un utilisateur pour acc\u00e9der \u00e0 une ressource h\u00e9berg\u00e9e sur un serveur diff\u00e9rent. Un cas d\u2019usage est par exemple l\u2019acc\u00e8s \u00e0 des documents h\u00e9berg\u00e9s sur un serveur d\u00e9di\u00e9 depuis une plateforme SharePoint :<\/p>\n
<\/figure>\n
L\u2019utilisateur n\u2019ayant pas d\u2019acc\u00e8s direct au serveur de fichiers, il s\u2019authentifie sur la plateforme SharePoint qui doit alors transmettre l\u2019identit\u00e9 de l\u2019utilisateur au serveur de fichiers.<\/p>\n
Cependant, les tickets de service \u00e9tant d\u00e9livr\u00e9s pour une application sp\u00e9cifique, le SharePoint ne peut transmettre directement le ticket qu\u2019il a re\u00e7u de l\u2019utilisateur. C\u2019est donc pour r\u00e9pondre \u00e0 cette probl\u00e9matique que Microsoft a mis en place les d\u00e9l\u00e9gations Kerberos, qui existent sous deux formes\u00a0:<\/p>\n
\n
Les d\u00e9l\u00e9gations non contraintes, apparues avec le syst\u00e8me d\u2019exploitation Windows Serveur 2000, et qui donnent l\u2019autorisation \u00e0 un compte de service de r\u00e9utiliser l\u2019identit\u00e9 de l\u2019utilisateur sur n\u2019importe quel service du domaine ou de la for\u00eat.<\/li>\n
Les d\u00e9l\u00e9gations contraintes, apparues avec le syst\u00e8me d\u2019exploitation Windows Serveur 2003, et qui permettent un meilleur contr\u00f4le en limitant les services sur lesquels un compte de service donn\u00e9 peut s\u2019authentifier en tant que l\u2019utilisateur.<\/li>\n<\/ul>\n
Les d\u00e9l\u00e9gations Kerberos non contraintes<\/h2>\n
Le sch\u00e9ma d\u2019authentification d\u2019un utilisateur d\u00e9sirant acc\u00e9der \u00e0 une ressource dans le cas d\u2019une d\u00e9l\u00e9gation Kerberos non contrainte est le suivant\u00a0:<\/p>\n
<\/figure>\n
Lors de la premi\u00e8re \u00e9tape de ce sch\u00e9ma, l\u2019utilisateur effectue une demande de TGT aupr\u00e8s du contr\u00f4leur de domaine, en lui transmettant un\u00a0timestamp<\/em>\u00a0chiffr\u00e9 avec le hash NTLM de son mot de passe. Apr\u00e8s avoir valid\u00e9 son identit\u00e9, le contr\u00f4leur de domaine fournit un TGT \u00e0 l\u2019utilisateur (\u00e9tape 2), comme il le ferait pour une authentification Kerberos classique.<\/p>\n
Pour s\u2019authentifier aupr\u00e8s de l\u2019application SharePoint, l\u2019utilisateur demande alors un TGS au contr\u00f4leur de domaine, en lui fournissant le TGT pr\u00e9c\u00e9demment r\u00e9cup\u00e9r\u00e9 (\u00e9tape 3). Dans le cas d\u2019une d\u00e9l\u00e9gation Kerberos non contrainte, le contr\u00f4leur de domaine construit le TGS de l\u2019utilisateur \u00e0 partir de son TGT, qu\u2019il chiffre \u00e0 l\u2019aide du hash NTLM du mot de passe du compte de service utilis\u00e9 par l\u2019application SharePoint (\u00e9tape 4).<\/p>\n
L\u2019utilisateur s\u2019authentifie alors sur l\u2019application SharePoint (\u00e9tape 5) en transmettant le TGS que lui a fourni le contr\u00f4leur de domaine lors de l\u2019\u00e9tape pr\u00e9c\u00e9dente.<\/p>\n
Le compte de service de l\u2019application SharePoint peut d\u00e9chiffrer ce TGS \u00e9tant donn\u00e9 qu\u2019il est chiffr\u00e9 avec son propre hash. Il r\u00e9cup\u00e8re ainsi le TGT de l\u2019utilisateur, qu\u2019il peut fournir au contr\u00f4leur de domaine pour effectuer une demande de TGS pour le serveur de fichier (\u00e9tape 6). Le TGT \u00e9tant celui de l\u2019utilisateur, le TGS renvoy\u00e9 par le contr\u00f4leur de domaine (\u00e9tape 7) repr\u00e9sente son identit\u00e9, et non celle du compte de service.<\/p>\n
Le compte de service de l\u2019application SharePoint peut alors transmettre ce TGS (\u00e9tape 8), que le serveur de fichiers validera comme s\u2019il provenait de l\u2019utilisateur lui-m\u00eame, donnant acc\u00e8s au document demand\u00e9 (\u00e9tape 9). \u00a0Ayant r\u00e9cup\u00e9r\u00e9 ce document, l\u2019application SharePoint peut le fournir \u00e0 l\u2019utilisateur, pour lequel les phases d\u2019authentification interm\u00e9diaires auront \u00e9t\u00e9 transparentes.<\/p>\n
Les d\u00e9l\u00e9gations Kerberos contraintes<\/h2>\n
Dans le cas d\u2019une d\u00e9l\u00e9gation Kerberos contrainte, deux extensions de protocole sont utilis\u00e9es pour permettre \u00e0 une application de r\u00e9utiliser l\u2019identit\u00e9 de l\u2019un de ses utilisateurs\u00a0:<\/p>\n
S4U2Self (Server-for-User-to-Self) qui autorise un service \u00e0 obtenir un TGS pour lui-m\u00eame en tant qu\u2019un utilisateur.<\/p>\n
S4U2Proxy (Server-for-User-to-Proxy) qui autorise un service \u00e0 obtenir un TGS pour un autre service en tant qu\u2019un utilisateur.<\/p>\n
La cin\u00e9matique d\u2019authentification et d\u2019acc\u00e8s aux ressources dans le cas d\u2019une telle d\u00e9l\u00e9gation est alors la suivante\u00a0:<\/p>\n
<\/figure>\n
Dans la premi\u00e8re \u00e9tape de cette cin\u00e9matique, l\u2019utilisateur s\u2019authentifie apr\u00e8s du premier service en lui transmettant ses identifiants. L\u2019authentification n\u2019utilisant pas Kerberos, l\u2019utilisateur n\u2019a pas besoin de s\u2019authentifier aupr\u00e8s du contr\u00f4leur de domaine.<\/p>\n
Le compte de service demande alors un TGS repr\u00e9sentant l\u2019identit\u00e9 de l\u2019utilisateur et permettant de s\u2019authentifier aupr\u00e8s de son propre service (\u00e9tape 2). Le compte de service poss\u00e9dant l\u2019extension S4U2Self, le contr\u00f4leur de domaine accorde ce ticket (\u00e9tape 3).<\/p>\n
Ce m\u00eame compte de service demande ensuite un TGS repr\u00e9sentant l\u2019identit\u00e9 de l\u2019utilisateur et permettant de s\u2019authentifier aupr\u00e8s du second service (\u00e9tape 4). Apr\u00e8s validation de l\u2019extension S4U2Proxy, le contr\u00f4leur de domaine accorde ce TGS (\u00e9tape 5)<\/p>\n
Gr\u00e2ce \u00e0 ce second ticket de service, le compte de service du SharePoint peut acc\u00e9der aux ressources du serveur de fichier avec l\u2019identit\u00e9 de l\u2019utilisateur (\u00e9tape 6). Le serveur de fichiers valide les privil\u00e8ges de l\u2019utilisateur, et transmet le document demand\u00e9 au compte de service SharePoint (\u00e9tape 7), qui le transmet \u00e0 l\u2019utilisateur (\u00e9tape 8).<\/p>\n
Contrairement au cas des d\u00e9l\u00e9gations non contraintes, l\u2019utilisation de l\u2019extension de protocole S4U2Proxy permet de sp\u00e9cifier les services accessibles au compte de service SharePoint. Ainsi, m\u00eame si l\u2019utilisateur dispose des privil\u00e8ges n\u00e9cessaires pour acc\u00e9der \u00e0 un autre serveur, le compte de service ne pourra r\u00e9cup\u00e9rer de TGS valide repr\u00e9sentant l\u2019identit\u00e9 de l\u2019utilisateur. Dans le cas d\u2019une d\u00e9l\u00e9gation contrainte, cette restriction se fait \u00e0 l\u2019aide d\u2019un param\u00e8tre du compte de service, appel\u00e9 SPN pour\u00a0Service Principal Name<\/em>.<\/p>\n
Il est \u00e0 noter que depuis la version Serveur 2012 du syst\u00e8me d\u2019exploitation Windows, un troisi\u00e8me type de d\u00e9l\u00e9gation Kerberos est propos\u00e9e, les d\u00e9l\u00e9gations Kerberos contraintes bas\u00e9es sur les ressources. Le fonctionnement de ces d\u00e9l\u00e9gations est similaire \u00e0 celui des d\u00e9l\u00e9gations contraintes, mais la restriction est effectu\u00e9e en sp\u00e9cifiant explicitement le compte ayant acc\u00e8s aux ressources.<\/p>\n
Exploiter les d\u00e9l\u00e9gations non contraintes<\/h2>\n
Les faiblesses induites par les d\u00e9l\u00e9gations Kerberos non-contraintes sont connues depuis plusieurs ann\u00e9es. Sean Metcalf a, par exemple, pr\u00e9sent\u00e9 les dangers de telles d\u00e9l\u00e9gations \u00e0 la Black Hat USA 2015. Dans la cin\u00e9matique d\u2019authentification pr\u00e9sent\u00e9e pr\u00e9c\u00e9demment, il est en effet \u00e9vident que le compte de service de l\u2019application SharePoint peut, une fois que l\u2019utilisateur lui a transmis un TGS contenant son TGT, acc\u00e9der \u00e0 l\u2019ensemble des services pour lesquels l\u2019utilisateur dispose de privil\u00e8ges n\u00e9cessaires.<\/p>\n
L\u2019objectif d\u2019un attaquant est alors d\u2019obtenir le TGT d\u2019un administrateur du domaine, ce qui lui permet de se connecter au contr\u00f4leur de domaine avec les privil\u00e8ges maximum pour changer le mot de passe du compte\u00a0krbtgt\u00a0<\/em>afin de pouvoir forger ses propres tickets \u00e0 la demande.<\/p>\n
Pour parvenir \u00e0 cela, il est d\u2019abord n\u00e9cessaire d\u2019identifier les services qui disposent de d\u00e9l\u00e9gations non contraintes. Pour cela, il suffit de filtrer les objets de l\u2019Active Directory \u00e0 la recherche de param\u00e8tres\u00a0TrustedForDelegation\u00a0<\/em>valant\u00a0True<\/em>. Ce param\u00e8tre indique en effet la pr\u00e9sence d\u2019une d\u00e9l\u00e9gation non contrainte, et est de plus accessible sans privil\u00e8ge particulier, par exemple \u00e0 l\u2019aide de la commande\u00a0Get-ADComputer<\/em>\u00a0du module\u00a0ActiveDirectory\u00a0<\/em>:<\/p>\n
Une fois les services disposant d\u2019une d\u00e9l\u00e9gation Kerberos non contrainte identifi\u00e9s, il est n\u00e9cessaire d\u2019obtenir des privil\u00e8ges administrateur sur l\u2019un des serveurs sur lesquels ils sont utilis\u00e9s. Les m\u00e9thodes de compromission classiques peuvent alors \u00eatre utilis\u00e9es, mais ne seront pas abord\u00e9es dans cet article.<\/p>\n
En cas d\u2019acc\u00e8s au service par un administrateur du domaine, l\u2019attaquant sera en mesure d\u2019extraire le TGS fourni \u00e0 l\u2019aide par exemple de l\u2019outil\u00a0mimikatz\u00a0<\/em>et de la commande suivante\u00a0:<\/p>\n
Comme indiqu\u00e9 dans le sc\u00e9nario d\u2019authentification, ce TGS contient le TGT de l\u2019administrateur, que l\u2019attaquant pourra extraire afin de r\u00e9aliser une attaque\u00a0Pass-The-Ticket<\/em>\u00a0pour se connecter au contr\u00f4leur de domaine.<\/p>\n
Les recommandations pour prot\u00e9ger un domaine d\u2019une telle attaque sont alors les suivantes :<\/p>\n
\n
Utiliser des d\u00e9l\u00e9gations Kerberos contraintes qui sont plus restrictives<\/li>\n
Configurer l\u2019ensemble des comptes \u00e0 privil\u00e8ges avec le param\u00e8tre \u00ab Le compte est sensible et ne peut \u00eatre d\u00e9l\u00e9gu\u00e9 \u00bb qui emp\u00eache la r\u00e9utilisation de l\u2019identit\u00e9 du compte par une application poss\u00e9dant une d\u00e9l\u00e9gation<\/li>\n<\/ul>\n
Dans le cas d\u2019un domaine au niveau fonctionnel sup\u00e9rieur \u00e0 Windows Serveur 2012 R2, le groupe de s\u00e9curit\u00e9 \u00ab Utilisateurs prot\u00e9g\u00e9s \u00bb peut \u00eatre utilis\u00e9 pour les comptes \u00e0 privil\u00e8ges \u00e9tant donn\u00e9 que les d\u00e9l\u00e9gations ne sont pas autoris\u00e9es pour les comptes de ce groupe.<\/p>\n
Qu\u2019en est-il des d\u00e9l\u00e9gations contraintes\u00a0?<\/h2>\n
L\u2019utilisation de d\u00e9l\u00e9gations contraintes semble \u00eatre une alternative plus s\u00e9curis\u00e9e. Cependant, diff\u00e9rents \u00e9l\u00e9ments sont \u00e0 noter concernant ce m\u00e9canisme d\u2019authentification, comme l\u2019a pr\u00e9sent\u00e9 Matan Hart lors de la Black Hat 2017. En effet, les deux extensions de protocole utilis\u00e9es ont \u00e9t\u00e9 pens\u00e9es avec les principes suivants :<\/p>\n
\n
Les deux extensions permettent \u00e0 un service Kerberos d\u2019obtenir des TGS sans m\u00eame que l\u2019utilisateur n\u2019ait besoin de s\u2019authentifier aupr\u00e8s du contr\u00f4leur de domaine.<\/li>\n
L\u2019extension S4U2Self permet au service d\u2019obtenir un TGS pour l\u2019utilisateur sans qu\u2019aucun mot de passe ne soit n\u00e9cessaire.<\/li>\n<\/ul>\n
De ce fait, un service qui poss\u00e8derait les deux extensions pourrait obtenir un TGS pour n\u2019importe quel autre service en se faisant passer pour un utilisateur, et ce sans n\u00e9cessiter son mot de passe.<\/p>\n
Matan Hart a publi\u00e9 son outil \u00ab\u00a0Mystique[1]\u00a0\u00bb qui permet d\u2019identifier des configurations \u00e0 risque pour les d\u00e9l\u00e9gations. Pour cela, il liste les comptes qui disposent du param\u00e8tre\u00a0TrustedToAuthForDelegation\u00a0<\/em>valant True, indiquant une d\u00e9l\u00e9gation contrainte, ainsi que d\u2019un param\u00e8tre\u00a0MsDS-AllowedToDelegateTo<\/em>\u00a0non nul, indiquant l\u2019utilisation d\u2019un SPN, ce qui est obligatoire pour les comptes de d\u00e9l\u00e9gation.<\/p>\n
Il est \u00e9galement \u00e0 noter que les TGS sont valid\u00e9s selon deux crit\u00e8res, le hash du mot de passe de l\u2019utilisateur, et le SPN poss\u00e9d\u00e9 par le compte de service qui poss\u00e8de la d\u00e9l\u00e9gation contrainte. En cas de multiples SPNs associ\u00e9s \u00e0 un m\u00eame compte de service, et de mot de passe partag\u00e9 entre diff\u00e9rents comptes, les tickets pour deux services distincts seront compl\u00e9tement interchangeables, ce qui pourrait permettre \u00e0 un service de r\u00e9utiliser l\u2019identit\u00e9 d\u2019un utilisateur de mani\u00e8re ill\u00e9gitime.<\/p>\n
Ces faiblesses ne sont pas consid\u00e9r\u00e9es comme des vuln\u00e9rabilit\u00e9s par Microsoft, et ne sont donc pas amen\u00e9es \u00e0 changer. Lors de la cr\u00e9ation d\u2019une d\u00e9l\u00e9gation Kerberos contrainte, il est alors n\u00e9cessaire de faire attention aux points suivants pour se prot\u00e9ger des attaques\u00a0:<\/p>\n
\n
Configurer les services \u00e0 l\u2019aide de comptes de service d\u00e9di\u00e9s, \u00e9vitant ainsi le partage des comptes qui pourrait aboutir \u00e0 des tickets interchangeables. Il est \u00e9galement important d\u2019assurer une bonne complexit\u00e9 des mots de passe, ainsi qu\u2019une rotation r\u00e9guli\u00e8re.<\/li>\n
Configurer des SPNs uniques comme \u00e9tant autoris\u00e9s pour la d\u00e9l\u00e9gation, en \u00e9vitant les SPNs par d\u00e9faut de Microsoft, et en sp\u00e9cifiant les ports utilis\u00e9s.<\/li>\n
Comme pour les d\u00e9l\u00e9gations non contraintes, configurer les comptes \u00e0 privil\u00e8ges comme \u00e9tant des comptes sensibles ne pouvant \u00eatre d\u00e9l\u00e9gu\u00e9s.<\/li>\n<\/ul>\n
Conclusion<\/h2>\n
L\u2019utilisation de d\u00e9l\u00e9gations contraintes n\u2019est pas totalement \u00e0 proscrire. Il est cependant n\u00e9cessaire de bien maitriser leur configuration et les ressources auxquelles elles permettent d\u2019acc\u00e9der afin d\u2019\u00e9viter les travers d\u00e9taill\u00e9s dans cet article.<\/p>\n","protected":false},"excerpt":{"rendered":"
Quelques rappels sur le protocole d\u2019authentification Kerberos Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes (chiffrement sym\u00e9trique) et l\u2019utilisation de tickets. Il fait partie int\u00e9grante des syst\u00e8me d\u2019exploitation Windows depuis la version Serveur 2000. Diff\u00e9rents…<\/p>\n","protected":false},"author":1415,"featured_media":15808,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3854,3225],"tags":[711,664,164,3905,3858],"coauthors":[3878],"class_list":["post-15795","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-deep-dive","category-ethical-hacking-indicent-response","tag-active-directory","tag-audit","tag-authentification","tag-kerberos","tag-pentest"],"acf":[],"yoast_head":"\n
Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos<\/title>\n<meta name=\"description\" content=\"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos\" \/>\n<meta property=\"og:description\" content=\"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\" \/>\n<meta property=\"og:site_name\" content=\"RiskInsight\" \/>\n<meta property=\"article:published_time\" content=\"2017-04-19T17:18:23+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-07-07T15:10:09+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1378\" \/>\n\t<meta property=\"og:image:height\" content=\"1378\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nicolas Daubresse\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Nicolas Daubresse\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"12 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\"},\"author\":{\"name\":\"Nicolas Daubresse\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e\"},\"headline\":\"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos\",\"datePublished\":\"2017-04-19T17:18:23+00:00\",\"dateModified\":\"2021-07-07T15:10:09+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\"},\"wordCount\":2417,\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg\",\"keywords\":[\"Active directory\",\"audit\",\"authentification\",\"kerberos\",\"pentest\"],\"articleSection\":[\"Cybersecurity & Digital Trust\",\"Deep-dive\",\"Ethical Hacking & Incident Response\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\",\"name\":\"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg\",\"datePublished\":\"2017-04-19T17:18:23+00:00\",\"dateModified\":\"2021-07-07T15:10:09+00:00\",\"description\":\"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg\",\"width\":1378,\"height\":1378},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"name\":\"RiskInsight\",\"description\":\"The cybersecurity & digital trust blog by Wavestone's consultants\",\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\",\"name\":\"Wavestone\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"width\":50,\"height\":50,\"caption\":\"Wavestone\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e\",\"name\":\"Nicolas Daubresse\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/author\/nicolas-daubresse\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos","description":"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/","og_locale":"en_US","og_type":"article","og_title":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos","og_description":"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.","og_url":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/","og_site_name":"RiskInsight","article_published_time":"2017-04-19T17:18:23+00:00","article_modified_time":"2021-07-07T15:10:09+00:00","og_image":[{"width":1378,"height":1378,"url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg","type":"image\/jpeg"}],"author":"Nicolas Daubresse","twitter_misc":{"Written by":"Nicolas Daubresse","Est. reading time":"12 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#article","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/"},"author":{"name":"Nicolas Daubresse","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e"},"headline":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos","datePublished":"2017-04-19T17:18:23+00:00","dateModified":"2021-07-07T15:10:09+00:00","mainEntityOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/"},"wordCount":2417,"publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg","keywords":["Active directory","audit","authentification","kerberos","pentest"],"articleSection":["Cybersecurity & Digital Trust","Deep-dive","Ethical Hacking & Incident Response"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/","url":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/","name":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg","datePublished":"2017-04-19T17:18:23+00:00","dateModified":"2021-07-07T15:10:09+00:00","description":"Kerberos est un protocole d\u2019authentification r\u00e9seau reposant sur un m\u00e9canisme de cl\u00e9s secr\u00e8tes et l\u2019utilisation de tickets.","breadcrumb":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#primaryimage","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/Fotolia_86749237_Subscription_Monthly_M.jpg","width":1378,"height":1378},{"@type":"BreadcrumbList","@id":"https:\/\/www.riskinsight-wavestone.com\/2017\/04\/compromission-domaine-windows-delegation-kerberos\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.riskinsight-wavestone.com\/en\/"},{"@type":"ListItem","position":2,"name":"Compromission d\u2019un domaine Windows \u00e0 l\u2019aide des d\u00e9l\u00e9gations Kerberos"}]},{"@type":"WebSite","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","name":"RiskInsight","description":"The cybersecurity & digital trust blog by Wavestone's consultants","publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization","name":"Wavestone","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","width":50,"height":50,"caption":"Wavestone"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e","name":"Nicolas Daubresse","url":"https:\/\/www.riskinsight-wavestone.com\/en\/author\/nicolas-daubresse\/"}]}},"_links":{"self":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/users\/1415"}],"replies":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/comments?post=15795"}],"version-history":[{"count":6,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15795\/revisions"}],"predecessor-version":[{"id":16242,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15795\/revisions\/16242"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media\/15808"}],"wp:attachment":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media?parent=15795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/categories?post=15795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/tags?post=15795"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/coauthors?post=15795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/1.png\")
<\/figure>\n![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/2.png\")
<\/figure>\n![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/3.png\")
<\/figure>\n![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/4.png\")
<\/figure>\n![\"\"](\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/05\/5.png\")
<\/figure>\n