添加密钥凭据

说明

源安全主体可通过利用密钥信任帐户映射（也称为密钥凭据或“影子凭据”）假冒目标。

这之所以可能实现是因为源有权编辑目标的 msDS-KeyCredentialLink 属性。

Windows Hello for Business (WHfB) 通常会使用此功能，但即使未使用该功能，攻击者也可加以利用。

渗透利用

危害源安全主体的攻击者必须使用 Whisker 或 DSInternals 等专门的黑客工具来编辑目标计算机的 msDS-KeyCredentialLink 属性。

攻击者的目标是向此目标的属性添加他们拥有其私钥的新证书。然后，他们会使用 Kerberos PKINIT 协议，通过已知私钥作为目标进行身份验证，从而获得 TGT。此协议还允许攻击者获取目标的 NTLM 哈希。

修复

多个本机特权安全主体在默认情况下拥有此权限，即 Account Operators、Administrators、Domain Admins、Enterprise Admins、Enterprise Key Admins、Key Admins 和 SYSTEM。这些合法的安全主体无需修复。

对于无修改此属性的合理需求的源安全主体，必须删除此权限。搜索“写入所有属性”、“写入 msDS-AllowedToActOnBehalfOfOtherIdentity”、“完全控制”等权限。

另请参阅：

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入 DACL

• 写入所有者