DACL schreiben
Beschreibung
Der Sicherheitsprinzipal der Quelle hat die Genehmigung, die Berechtigungen des Ziel-Objekts in der DACL (Discretionary Access Control List) zu ändern. Dies ermöglicht es der Quelle, für sich selbst zusätzliche Rechte zu erlangen oder an jemand anderen zu übertragen und letztlich das Ziel-Objekt zu kompromittieren.
Ausnutzung
Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, müssen nur die Sicherheitsbeschreibung des Ziel-Objekts über native Windows-Befehle wie „dsacls”, PowerShell wie „Set-ACL”, Verwaltungstools wie „Active Directory-Benutzer und -Computer“ oder spezielle Hacker-Tools wie PowerSploit bearbeiten.
Behebung
Wenn der Sicherheitsprinzipal der Quelle nicht die legitime Berechtigung hat, die Berechtigungen des Ziel-Objekts zu ändern, müssen Sie diese Berechtigung entfernen.
So ändern Sie die Sicherheitsbeschreibung des Ziel-Objekts:
-
Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf Eigenschaften > Sicherheit > Erweitert.
-
Entfernen Sie die „Berechtigungen ändern”-Berechtigung für den Sicherheitsprinzipal der Quelle.
Siehe auch