メンバーの追加

説明

ソースのセキュリティプリンシパルは、自分 (検証された書き込み権限) または任意のユーザー (プロパティの書き込み権限) をターゲットグループのメンバーに追加でき、そのグループに与えられたアクセス権の恩恵を受けることができます。

悪意のあるセキュリティプリンシパルがこの操作を実行すると、「グループのメンバー」攻撃関係が作成されます。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Windows のネイティブコマンド (例: net group/domain)、PowerShell (例: Add-ADGroupMember)、管理ツール (例: Active Directory ユーザーとコンピューター)、専用のハッカーツール (例: PowerSploit) を使用して、ターゲットグループの「メンバー」属性を編集するだけで悪用することができます。

修正方法

ソースセキュリティプリンシパルがターゲットグループにメンバーを追加するアクセス許可を必要としない場合は、そのアクセス許可を削除する必要があります。

ターゲットグループのセキュリティ記述子を変更するには

1. 「Active Directory ユーザーとコンピューター」で、右クリックで [プロパティ] > [セキュリティ] の順に選択します。

2. 「メンバーの書き込み」、「すべてのプロパティの書き込み」、「フルコントロール」、「検証されたすべての書き込み」、「メンバーとしての自身の追加/削除」などのアクセス許可を削除します。

関連項目

• キー認証情報の追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み