写入所有者

说明

源安全主体有权更改目标对象的所有者，包括将自己分配为所有者。所有者具有隐式权限，即“读取控制”和“写入 DACL”，可让他们为自己或他人获取更多权限，并最终危害目标对象。

有关更多信息，请参阅 拥有 关系。

渗透利用

危害源安全主体的攻击者只需使用“dsacls /takeownership”等本机 Windows 命令、“Set-ACL”等 PowerShell、“Active Directory 用户和计算机”等管理工具或 PowerSploit 等专用黑客工具来分配自己作为目标的所有者。

然后，他们可以使用类似方法编辑目标对象的安全描述符。

修复

如果源安全主体没有合法权限来更改目标对象的所有者，则必须删除此权限。

若要修改目标对象的安全描述符，请执行以下操作：

1. 在“Active Directory 用户和计算机”中，右键点击该对象，然后选择“属性”>“安全性”>“高级”。

2. 删除源安全主体的权限“修改所有者”权限。

注意：对象可以继承 Active Directory 树中更高级别对象的此权限。

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 链接的 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入 DACL