写入所有者

说明

源安全主体有权更改目标对象的所有者,包括将自己分配为所有者。所有者具有隐式权限,即“读取控制”和“写入 DACL”,可让他们为自己或他人获取更多权限,并最终危害目标对象。

有关更多信息,请参阅 拥有 关系。

渗透利用

危害源安全主体的攻击者只需使用“dsacls /takeownership”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来分配自己作为目标的所有者。

然后,他们可以使用类似方法编辑目标对象的安全描述符。

修复

如果源安全主体没有合法权限来更改目标对象的所有者,则必须删除此权限。

若要修改目标对象的安全描述符,请执行以下操作:

  1. 在“Active Directory 用户和计算机”中,右键点击该对象,然后选择“属性”>“安全性”>“高级”。

  2. 删除源安全主体的权限“修改所有者”权限。

注意:对象可以继承 Active Directory 树中更高级别对象的此权限。

另请参阅