写入 DACL

说明

源安全主体有权更改自主访问控制列表 (DACL) 中的目标对象的权限。这允许源为自己获取或授予他人额外的权限，并最终危害目标对象。

渗透利用

危害源安全主体的攻击者只需通过“dsacls”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标对象的安全描述符。

修复

如果源安全主体没有合法权限来更改目标对象的权限，则必须删除此权限。

若要修改目标对象的安全描述符，请执行以下操作：

1. 在“Active Directory 用户和计算机”中，右键点击该对象，然后点击“属性”>“安全性”>“高级”。

2. 删除源安全主体的权限“修改权限”权限。

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入所有者