允许行动的授权

说明

允许源安全主体授予自己或他人与目标计算机的 允许行动 关系。这种关系通常会通过 Kerberos RBCD 委派攻击导致目标计算机遭到全面破坏。

这之所以可能实现是因为源有权编辑目标的“msDS-AllowedToActOnBehalfOfOtherIdentity”属性。

执行此操作的恶意安全主体会创建“允许行动”攻击关系。

渗透利用

危害源安全主体的攻击者必须使用 PowerShell 编辑目标计算机的 msDS-AllowedToActOnBehalfOfOtherIdentity(例如“Set-ADComputer<target> -PrincipalsAllowedToDelegateToAccount ...”)。

修复

多个本机特权安全主体在默认情况下拥有此权限,即 Account Operators、Administrators、Domain Admins、Enterprise Admins 和 SYSTEM。这些安全主体合法,且无需修复。

Kerberos RBCD 的设计目的是使计算机的管理员可以将在计算机上执行委派的权限授予任何需要的人员。这与需要域管理员级别权限的其他 Kerberos 委派模式有所差异。这允许较低级别的管理员自行管理这些安全设置,此原则也称为委派。在这种情况下,该关系是合法的。

但是,如果源安全主体不是目标计算机的合法管理员,则该关系不合法,并且必须删除此权限。

若要修改目标计算机的安全描述符,请执行以下操作:

  1. 在“Active Directory 用户和计算机”中,右键点击“属性”>“安全性”。

  2. 删除提供给源安全主体的权限。搜索“写入 msDS-AllowedToActOnBehalfOfOtherIdentity”、“写入所有属性”、“写入帐户限制”、“完全控制”等权限。

注意:源安全主体可以继承 Active Directory 树中更高级别对象的权限。

 

另请参阅