擁有

說明

來源安全主體可能建立了目標物件,因此它是宣告的目標物件所有者。所有者擁有隱含的權限,即「讀取控制」和「寫入 DACL」,所以他們可以為自己或其他人取得額外的權限,並最終入侵目標物件。

利用

入侵來源安全主體的攻擊者只需使用本機 Windows 命令 (例如「dsacls」)、PowerShell (例如「Set-ACL」)、管理工具 (例如「Active Directory 使用者和電腦」) 或專用的駭客工具 (例如 PowerSploit) 編輯目標物件的安全性描述元。

建立物件時,如果是低權限使用者 (例如,標準服務台技術人員) 建立並擁有物件 ,然後將此物件提升到更高的權限 (例如,管理員),則存在權限提升風險。原來的所有者仍然存在,並且現在可以入侵具有新權限的物件,以利用它的權限。

修復

如果來源安全主體不是目標物件的合法所有者,則必須予以變更。

如要變更目標物件的所有者:

  1. 在「Active Directory 使用者和電腦」中,右鍵按一下「屬性」>「安全性」>「進階」。

  2. 在頂端的「所有者」行中,按一下「更改」。

大多數敏感 Active Directory 物件預設使用的安全目標物件所有者為:

  • 網域分割區中的物件:「管理員」或「網域管理員」

  • 設定分割區中的物件:「企業管理員」

  • 架構分割區中的物件:「架構管理員」

另請參閱