Mitglied hinzufügen

Beschreibung

Der Sicherheitsprinzipal der Quelle kann sich selbst (Recht für validierte Schreibvorgänge) oder eine beliebige Person (Recht zum Schreiben von Eigenschaften) zu den Mitgliedern der Ziel-Gruppe hinzufügen und die der Gruppe erteilten Zugriffsrechte nutzen.

Ein böswilliger Sicherheitsprinzipal, der diese Operation durchführt, würde eine „Mitglied von”-Angriffsbeziehung erstellen.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen nur das Attribut „members” der Ziel-Gruppe über native Windows-Befehle wie „net group/domain”, PowerShell wie „Add-ADGroupMember”, Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder spezielle Hacker-Tools wie PowerSploit bearbeiten.

Behebung

Wenn der Sicherheitsprinzipal der Quelle das Recht, ein Mitglied zur Ziel-Gruppe hinzuzufügen, nicht benötigt, müssen Sie dieses Recht entfernen.

So ändern Sie die Sicherheitsbeschreibung der Ziel-Gruppe:

1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit.

2. Entfernen Sie Berechtigungen wie „Mitglieder schreiben”, „Alle Eigenschaften schreiben”, „Vollständige Kontrolle”, „Alle validierten Schreibvorgänge”, „Sich selbst als Mitglied hinzufügen/entfernen” usw.

Siehe auch

• Schlüssel-Anmeldeinformation hinzufügen

• Agieren zulässig

• Delegieren zulässig

• Gehört zu GPO

• DCSync

• „Agieren zulässig” gewähren

• Hat SID-Verlauf

• Implizite Übernahme

• GPO erben

• Verknüpftes GPO

• Mitglied von

• Besitzt

• Passwort zurücksetzen

• RODC-Verwaltung

• DACL schreiben

• Besitzer schreiben