添加成员

说明

源安全主体可将其自身(经过验证的写入权限)或任何人(写入属性权限)添加至目标组的成员,并从授予该组的访问权限中受益。

执行此操作的恶意安全主体将会创建“成员归属”攻击关系。

渗透利用

危害源安全主体的攻击者只需通过“net group/domain”等本机 Windows 命令、“Add-ADGroupMember”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标组的“members”属性。

修复

如果源安全主体不需要向目标组添加成员的权限,则必须删除此权限。

若要修改目标组的安全描述符,请执行以下操作:

  1. 在“Active Directory 用户和计算机”中,右键点击“属性”>“安全性”。

  2. 删除“写入成员”、“写入所有属性”、“完全控制”、“所有经过验证的写入”、“添加/删除自身作为成员”等权限。

注意:组可以继承 Active Directory 树中更高级别对象的权限。

另请参阅