授權允許行動

說明

允許來源安全主體授予自己或其他人與目標電腦的 允許行動 關係。這經常引致攻擊者可透過 Kerberos RBCD 委派攻擊完全入侵目標電腦。

因為來源具有編輯目標的「msDS-AllowedToActOnBehalfOfOtherIdentity」屬性的權限，所以可以做到這點。

執行此作業的惡意安全主體可建立「Allowed To Act」攻擊關係。

利用

入侵來源安全主體的攻擊者必須使用 PowerShell 編輯目標電腦的 msDS-AllowedToActOnBehalfOfOtherIdentity 屬性 (例如「Set-ADComputer <target> -PrincipalsAllowedToDelegateToAccount ...」)。

修復

依照預設，數個具有本機權限的安全主體擁有此權限，即帳戶操作員、管理員、網域管理員、企業管理員和系統。這些合法的安全主體不需要修復。

Kerberos RBCD 的設計讓電腦管理員可以向任何需要者授予在電腦上執行委派的權利。這與需要網域管理員層級權限的其他 Kerberos 委派模式不同。這允許較低層級的管理員自行管理這些安全性設定，這也稱為委派原則。在這種情況下，這種關係是合法的。

但是，如果來源安全主體不是目標電腦的合法管理員，則此關係不合法，您必須移除此權限。

如要修改目標電腦的安全性描述元：

1. 在「Active Directory 使用者和電腦」中，右鍵按一下「屬性」>「安全性」。

2. 移除授予來源安全主體的權限。搜尋「寫入 msDS-AllowedToActOnBehalfOfOtherIdentity」、「寫入所有屬性」、「寫入帳戶限制」、「完全控制」等權限。

 

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者