拥有
说明
源安全主体是目标对象声明的所有者,因为它可能是该目标对象的创建者。所有者具有隐式权限(“读取控制”和“写入 DACL”),可让他们为自己或他人获取更多权限,并最终危害目标对象。
渗透利用
危害源安全主体的攻击者只需通过“dsacls”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标对象的安全描述符。
创建对象时存在特权提升的风险,前提是该对象由低权限用户创建并因此拥有(例如标准帮助台技术人员),随后该对象被提升为更高特权(例如管理员)。原始所有者仍然存在,并且现在可以破坏新特权对象,以利用其权限。
修复
如果源安全主体不是目标对象的合法所有者,则必须对其进行更改。
若要更改目标对象的所有者,请执行以下操作:
-
在“Active Directory 用户和计算机”中,右键点击“属性”>“安全性”>“高级”。
-
在顶部的“所有者”行上点击“更改”。
大多数敏感 Active Directory 对象在默认情况下使用的 Safe Target 对象所有者为:
-
域分区中的对象:“管理员”或“域管理员”
-
配置分区中的对象:“企业管理员”
-
Schema 分区中的对象:“Schema 管理员”
另请参阅