添加成员

说明

源安全主体可将其自身（经过验证的写入权限）或任何人（写入属性权限）添加至目标组的成员，并从授予该组的访问权限中受益。

执行此操作的恶意安全主体将会创建“成员归属”攻击关系。

渗透利用

危害源安全主体的攻击者只需通过“net group/domain”等本机 Windows 命令、“Add-ADGroupMember”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标组的“members”属性。

修复

如果源安全主体不需要向目标组添加成员的权限，则必须删除此权限。

若要修改目标组的安全描述符，请执行以下操作：

1. 在“Active Directory 用户和计算机”中，右键点击“属性”>“安全性”。

2. 删除“写入成员”、“写入所有属性”、“完全控制”、“所有经过验证的写入”、“添加/删除自身作为成员”等权限。

另请参阅：

• 添加密钥凭据

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入 DACL

• 写入所有者