グループのメンバー

説明

ソースセキュリティプリンシパルはターゲットグループのメンバーです。したがって、ファイル共有へのアクセス、ビジネスアプリケーションでのロールの引き受けなど、グループが保持するすべてのアクセス権の恩恵を受けます。

悪用

攻撃者は、この攻撃関係を悪用するために何もする必要はありません。ローカルまたはリモートのセキュリティトークンでターゲットグループを取得したり、Kerberos チケットを取得したりすることは、ソースセキュリティプリンシパルとして認証するだけで実行できます。

修正方法

ソースセキュリティプリンシパルがターゲットグループの不正なメンバーである場合は、削除する必要があります。

「Active Directoryユーザーとコンピューター」などの標準の Active Directory 管理ツールや、Remove-ADGroupMember などの PowerShell を使用できます。

関連項目