Besitzt

Beschreibung

Der Sicherheitsprinzipal der Quelle ist der erklärte Besitzer des Ziel-Objekts, da er wahrscheinlich das Ziel-Objekt erstellt hat. Die Besitzer haben implizite Rechte („Lesekontrolle” und „DACL schreiben”), die es ihnen ermöglichen, zusätzliche Rechte für sich selbst oder eine andere Person zu erhalten und letztendlich das Ziel-Objekt zu kompromittieren.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen nur die Sicherheitsbeschreibung des Ziel-Objekts über native Windows-Befehle wie „dsacls”, PowerShell wie „Set-ACL”, Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder spezielle Hacker-Tools wie PowerSploit bearbeiten.

Wenn ein Objekt erstellt wird, besteht das Risiko einer Rechteausweitung, wenn ein Benutzer mit geringen Privilegien es erstellt und somit besitzt (z. B. ein Standard-Helpdesk-Techniker) und dieses Objekt später mit höheren Rechten ausgestattet wird (z. B. Administrator). Der ursprüngliche Besitzer bleibt bestehen und kann das nun privilegierte Objekt kompromittieren, um dessen Rechte zu nutzen.

Behebung

Wenn der Sicherheitsprinzipal der Quelle kein legitimer Besitzer des Ziel-Objekts ist, müssen Sie ihn ändern.

So ändern Sie den Besitzer des Ziel-Objekts:

  1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit > Erweitert.

  2. Klicken Sie oben in der Zeile Besitzer auf Ändern.

Sichere Besitzer der Ziel-Objekte, die standardmäßig für die meisten sensiblen Active Directory-Objekte verwendet werden, sind:

  • Objekte in der Domänenpartition: „Administratoren” oder „Domänenadministratoren”

  • Objekte in der Konfigurationspartition: „Unternehmensadministratoren”

  • Objekte in der Schema-Partition: „Schemaadministratoren”

Siehe auch