DACL schreiben

Beschreibung

Der Sicherheitsprinzipal der Quelle hat die Genehmigung, die Berechtigungen des Ziel-Objekts in der DACL (Discretionary Access Control List) zu ändern. Dies ermöglicht es der Quelle, für sich selbst zusätzliche Rechte zu erlangen oder an jemand anderen zu übertragen und letztlich das Ziel-Objekt zu kompromittieren.

Ausnutzung

Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen nur die Sicherheitsbeschreibung des Ziel-Objekts über native Windows-Befehle wie „dsacls”, PowerShell wie „Set-ACL”, Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder spezielle Hacker-Tools wie PowerSploit bearbeiten.

Behebung

Wenn der Sicherheitsprinzipal der Quelle nicht die legitime Berechtigung hat, die Berechtigungen des Ziel-Objekts zu ändern, müssen Sie diese Berechtigung entfernen.

So ändern Sie die Sicherheitsbeschreibung des Ziel-Objekts:

1. Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit > Erweitert.

2. Entfernen Sie die „Berechtigungen ändern”-Berechtigung für den Sicherheitsprinzipal der Quelle.

Siehe auch

• Schlüssel-Anmeldeinformation hinzufügen

• Mitglied hinzufügen

• Agieren zulässig

• Delegieren zulässig

• Gehört zu GPO

• DCSync

• „Agieren zulässig” gewähren

• Hat SID-Verlauf

• Implizite Übernahme

• GPO erben

• Verknüpftes GPO

• Mitglied von

• Besitzt

• Passwort zurücksetzen

• RODC-Verwaltung

• Besitzer schreiben