写入 DACL
说明
源安全主体有权更改自主访问控制列表 (DACL) 中的目标对象的权限。这允许源为自己获取或授予他人额外的权限,并最终危害目标对象。
渗透利用
危害源安全主体的攻击者只需通过“dsacls”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来编辑目标对象的安全描述符。
修复
如果源安全主体没有合法权限来更改目标对象的权限,则必须删除此权限。
若要修改目标对象的安全描述符,请执行以下操作:
-
在“Active Directory 用户和计算机”中,右键点击该对象,然后点击“属性”>“安全性”>“高级”。
-
删除源安全主体的权限“修改权限”权限。
注意:对象可以继承 Active Directory 树中更高级别对象的此权限。
另请参阅