Besitzer schreiben
Beschreibung
Der Sicherheitsprinzipal der Quelle hat die Berechtigung, den Besitzer des Ziel-Objekts zu ändern, einschließlich sich selbst als Besitzer zuzuweisen. Besitzer haben implizite Rechte („Lesekontrolle” und „DACL schreiben”), die es ihnen ermöglichen, zusätzliche Rechte für sich selbst oder eine andere Person zu erhalten und letztendlich das Ziel-Objekt zu kompromittieren.
Weitere Informationen finden Sie unter der Besitzt-Beziehung.
Ausnutzung
Angreifer, die den Sicherheitsprinzipal der Quelle kompromittieren, können sich mit nativen Windows-Befehlen wie „dsacls /takeownership”, PowerShell wie „Set-ACL”, Verwaltungstools wie „Active Directory-Benutzer und -Computer” oder speziellen Hacker-Tools wie PowerSploit als Besitzer des Ziels zuweisen.
Sie können dann die Sicherheitsbeschreibung des Ziel-Objekts mit ähnlichen Methoden bearbeiten.
Behebung
Wenn der Sicherheitsprinzipal der Quelle keine legitime Berechtigung hat, den Besitzer des Ziel-Objekts zu ändern, müssen Sie diese Berechtigung entfernen.
So ändern Sie die Sicherheitsbeschreibung des Ziel-Objekts:
-
Klicken Sie in „Active Directory-Benutzer und -Computer” mit der rechten Maustaste auf das Objekt und wählen Sie Eigenschaften > Sicherheit > Erweitert aus.
-
Entfernen Sie die „Besitzer ändern”-Berechtigung für den Sicherheitsprinzipal der Quelle.
Hinweis: Ein Objekt kann die Berechtigung von einem höheren Objekt in der Active Directory-Struktur erben.
Siehe auch