拥有

说明

源安全主体是目标对象声明的所有者，因为它可能是该目标对象的创建者。所有者具有隐式权限（“读取控制”和“写入 DACL”），可让他们为自己或他人获取更多权限，并最终危害目标对象。

渗透利用

危害源安全主体的攻击者只需通过“dsacls”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标对象的安全描述符。

创建对象时存在特权提升的风险，前提是该对象由低权限用户创建并因此拥有（例如标准帮助台技术人员），随后该对象被提升为更高特权（例如管理员）。原始所有者仍然存在，并且现在可以破坏新特权对象，以利用其权限。

修复

如果源安全主体不是目标对象的合法所有者，则必须对其进行更改。

若要更改目标对象的所有者，请执行以下操作：

1. 在“Active Directory 用户和计算机”中，右键点击“属性”>“安全性”>“高级”。

2. 在顶部的“所有者”行上点击“更改”。

大多数敏感 Active Directory 对象在默认情况下使用的 Safe Target 对象所有者为：

• 域分区中的对象：“管理员”或“域管理员”

• 配置分区中的对象：“企业管理员”

• Schema 分区中的对象：“Schema 管理员”

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 重置密码

• RODC 管理

• 写入 DACL

• 写入所有者