所有

説明

通常ソースセキュリティプリンシパルは、ターゲットオブジェクトを作成しているため、ターゲットオブジェクトの宣言された所有者になります。所有者には「コントロールの読み取り」および「DACL の書き込み」の黙示的な権利があるため、所有者自身または他のユーザーのために追加の権利を取得し、最終的にターゲットオブジェクトを侵害することができます。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Windows のネイティブコマンド (dsacls)、PowerShell (Set-ACL)、管理ツール (「Active Directory ユーザーとコンピューター」)、専用ハッカーツール (PowerSploit) を使用して、ターゲットオブジェクトのセキュリティ記述子を編集するだけで悪用できます。

下位の特権ユーザーがオブジェクトを作成して所有し (標準のヘルプデスクの技術者など)、その後オブジェクトが管理者などのより高位の特権に昇格されると、権限昇格のリスクがあります。元の所有者がそのまま存続し、新しい特権オブジェクトを侵害してその特権を悪用する可能性があります。

修正方法

ソースセキュリティプリンシパルがターゲットオブジェクトの正当な所有者でない場合は、変更する必要があります。

ターゲットオブジェクトの所有者を変更するには

1. 「Active Directory ユーザーとコンピューター」で、右クリックで [プロパティ] > [セキュリティ] > [詳細] を選択します。

2. 上部の [所有者] 行で、[変更] をクリックします。

ほとんどの機密性の高い Active Directory オブジェクトに対してデフォルトで使用される安全なターゲットオブジェクトの所有者は次のとおりです。

• ドメインパーティションのオブジェクト:「管理者」または「ドメイン管理者」

• 設定パーティションのオブジェクト:「エンタープライズ管理者」

• スキーマパーティションのオブジェクト:「スキーマ管理者」

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• パスワードのリセット

• RODC 管理

• DACL の書き込み

• 所有者の書き込み