寫入 DACL

說明

來源安全主體擁有變更判別存取控制清單 (DACL) 中目標物件權限的權限。來源可以為自己取得或授予其他人額外的權限，並最終危害目標物件。

刺探利用

入侵來源安全主體的攻擊者只需使用本機 Windows 命令 (例如「dsacls」)、PowerShell (例如「Set-ACL」)、管理工具 (例如「Active Directory 使用者和電腦」) 或專用的駭客工具 (例如 PowerSploit) 編輯目標物件的安全性描述元。

修復

如果來源安全主體不具備變更目標物件權限的合法權限，您必須移除此權限。

如要修改目標物件的安全性描述元：

1. 在「Active Directory 使用者和電腦」中，用右鍵按一下此物件，然後按一下「屬性」>「安全性」>「進階」。

2. 移除來源安全主體的「修改權限」權限。

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入所有者