操作の許可を付与できる

説明

ソースセキュリティプリンシパルは、自分または任意のユーザーに、ターゲットコンピューターとの操作が許可されている関係を与えることができます。多くの場合、Kerberos RBCD 委任攻撃によりターゲットコンピューターが完全に侵害される恐れがあります。

悪用が可能なのは、ソースがターゲットの「msDS-AllowedToActOnBehalfOfOtherIdentity」属性を編集するアクセス許可を持っているためです。

悪意のあるセキュリティプリンシパルがこの操作を実行すると、「操作が許可されている」攻撃関係が作成される場合があります。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者が、PowerShell (例:「Set-ADComputer <target> -PrincipalsAllowedToDelegateToAccount ...」)を使用して、ターゲットコンピューターの msDS-AllowedToActOnBehalfOfOtherIdentity 属性を編集する必要があります。

修正方法

ネイティブで特権を持ついくつかのセキュリティプリンシパル (アカウントオペレーター、管理者、ドメイン管理者、エンタープライズ管理者、システムなど) には、デフォルトでこのアクセス許可が付与されています。これらのセキュリティプリンシパルは正当なので、修正は必要ありません。

Kerberos RBCD の仕様により、コンピューターの管理者は、そのコンピューターで委任を実行する権利を、必要とする任意のユーザーに与えることができるようになっています。これは、ドメイン管理者レベルのアクセス許可を必要とする Kerberos 委任の他のモードとは異なります。この結果、下位レベルの管理者がこれらのセキュリティ設定を自分で管理できるようになります。この原則は委任とも呼ばれます。この場合、関係は正当なものです。

ただし、ソースセキュリティプリンシパルがターゲットコンピューターの正当な管理者でない場合、関係は正当ではないため、このアクセス許可を削除する必要があります。

ターゲットコンピューターのセキュリティ記述子を変更するには

1. 「Active Directory ユーザーとコンピューター」で、右クリックで [プロパティ] > [セキュリティ] の順に選択します。

2. ソースセキュリティプリンシパルに与えられたアクセス許可を削除します。「msDS-AllowedToActOnBehalfOfOtherIdentity の書き込み」、「すべてのプロパティの書き込み」、「アカウント制限の書き込み」、「フルコントロール」などのアカウント許可を検索します。

 

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み