DACL の書き込み

説明

ソースセキュリティプリンシパルは、任意アクセス制御リスト (DACL) のターゲットオブジェクトのアクセス許可を変更する権限を持っています。このため、ソースは追加のアクセス許可を自分自身のために取得したり、他の誰かに与えたりして、最終的にターゲットオブジェクトを侵害することができます。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Windows のネイティブコマンド (dsacls)、PowerShell (Set-ACL)、管理ツール (「Active Directory ユーザーとコンピューター」)、専用ハッカーツール (PowerSploit) を使用して、ターゲットオブジェクトのセキュリティ記述子を編集するだけで悪用できます。

修正方法

ソースセキュリティプリンシパルがターゲットオブジェクトのアクセス許可を変更する正当なアクセス許可を持っていない場合は、このアクセス許可を削除する必要があります。

ターゲットオブジェクトのセキュリティ記述子を変更するには

1. 「Active Directory ユーザーとコンピューター」 で、オブジェクトを右クリックし、[プロパティ] > [セキュリティ] > [詳細] を選択します。

2. ソースセキュリティプリンシパルの「アクセス許可の変更」のアクセス許可を削除します。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• 所有者の書き込み