新增成員

說明

來源安全主體可以將自己 (已驗證的寫入權限) 或任何人 (寫入屬性權限) 新增至目標群組的成員中，並使用已授予此群組的存取權限。

執行此作業的惡意安全主體會建立「成員隸屬於」攻擊關係。

利用

入侵來源安全主體的攻擊者只需透過本機 Windows 命令 (如「net group /domain」)、PowerShell (如「Add-ADGroupMember」)、管理工具 (如「Active Directory 使用者和電腦」) 或專用的駭客工具 (如 PowerSploit) 編輯目標群組的「成員」屬性。

修復

如果來源安全主體不需要擁有將成員新增到目標群組的權限，則您必須移除此權限。

如要修改目標群組的安全性描述元：

1. 在「Active Directory 使用者和電腦」中，右鍵按一下「屬性」>「安全性」。

2. 移除權限，例如「寫入成員」、「寫入所有屬性」、「完整控制權」、「所有已驗證的寫入」、「將自己新增為成員/移除成員」等。

另請參閱

• 新增金鑰憑證

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者