„Agieren zulässig” gewähren

Beschreibung

Der Sicherheitsprinzipal der Quelle darf sich selbst oder einer anderen Person eine Agieren zulässig-Beziehung zum Zielcomputer einräumen. Dies führt häufig zu einer vollständigen Kompromittierung des Zielcomputers über einen Angriff mit Kerberos RBCD-Delegierung.

Dies ist möglich, weil die Quelle die Berechtigung hat, das Attribut „msDS-AllowedToActOnBehalfOfOtherIdentity” des Ziels zu bearbeiten.

Ein böswilliger Sicherheitsprinzipal, der diese Operation durchführt, kann eine „Agieren zulässig”-Angriffsbeziehung erstellen.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen das Attribut msDS-AllowedToActOnBehalfOfOtherIdentity des Zielcomputers mit PowerShell bearbeiten (zum Beispiel „Set-ADComputer <target> -PrincipalsAllowedToDelegateToAccount ...”).

Behebung

Mehrere Sicherheitsprinzipale mit nativen Rechten verfügen standardmäßig über diese Berechtigung, nämlich Kontooperatoren, Administratoren, Domänenadministratoren, Enterprise-Administratoren und SYSTEM. Diese Sicherheitsprinzipale sind legitim und es sind für sie keine Behebungsmaßnahmen erforderlich.

Kerberos RBCD ist so konzipiert, dass die Administratoren eines Computers die Rechte zur Delegierung auf dem Computer an jeden vergeben können, der sie benötigt. Dies unterscheidet sich von anderen Modi der Kerberos-Delegierung, die eine Berechtigung auf Domänenadministrator-Ebene erfordern. Dadurch können Administratoren der unteren Ebenen diese Sicherheitseinstellungen selbst verwalten, ein Prinzip, das auch als Delegierung bezeichnet wird. In diesem Fall ist die Beziehung legitim.

Wenn der Sicherheitsprinzipal der Quelle jedoch kein legitimer Administrator des Zielcomputers ist, ist die Beziehung nicht legitim und Sie müssen diese Berechtigung entfernen.

So ändern Sie die Sicherheitsbeschreibung des Ziel-Computers:

  1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit.

  2. Entfernen Sie die Berechtigung für den Sicherheitsprinzipal der Quelle. Suchen Sie nach Berechtigungen wie „msDS-AllowedToActOnBehalfOfOtherIdentity schreiben”, „Alle Eigenschaften schreiben”, „Kontobeschränkungen schreiben”, „Vollzugriff” usw.

Hinweis: Der Sicherheitsprinzipal der Quelle kann die Berechtigung von einem Objekt erben, das in der Active Directory-Baumstruktur höher angesiedelt ist.

 

Siehe auch