新增金鑰憑證

說明

來源安全主體可以透過利用金鑰信任帳戶對應來模擬目標，這也稱為金鑰憑證或「影子憑證」。

因為來源具有編輯目標的 msDS-KeyCredentialLink 屬性的權限，所以可以做到這點。

Windows Hello 企業版 (WHfB) 通常會使用此功能，但即使未使用，攻擊者仍可以利用它。

利用

破壞來源安全主體的攻擊者必須使用專門的駭客工具 (如 Whisker 或 DSInternals) 來編輯目標電腦的 msDS-KeyCredentialLink 屬性。

攻擊者的目標是向此目標的屬性新增憑證，他們擁有此憑證的私密金鑰。然後，他們可以使用 Kerberos PKINIT 通訊協定，以已知的私密金鑰驗證為目標，以取得 TGT。此通訊協定還允許攻擊者取得目標的 NTLM 哈希。

修復

依照預設，數個具有本機權限的安全主體擁有此權限，即帳戶管理員、管理員、網域管理員、企業管理員、企業金鑰管理員、金鑰管理員和系統。這些合法的安全主體不需要修復。

對於沒有修改此屬性的合法需要的來源安全主體，您必須移除此權限。搜尋「寫入所有屬性」、「寫入 msDS-AllowedToActOnBehalfOfOtherIdentity」、「完全控制」等權限。

另請參閱

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者