所有者の書き込み

説明

ソースセキュリティプリンシパルは、自身を所有者として割り当てることを含め、ターゲットオブジェクトの所有者を変更するアクセス許可を持っています。所有者には「コントロールの読み取り」および「DACLの書き込み」の黙示的な権利があるため、所有者自身または他のユーザーのために追加の権利を取得し、最終的にターゲットオブジェクトを侵害することができます。

詳細は、所有関係を参照してください。

悪用

ソースのセキュリティプリンシパルを侵害した攻撃者は、Windows のネイティブコマンド (例: dsacls/takeownership)、PowerShell (例: Set-ACL)、管理ツール (例: Active Directory ユーザーとコンピューター)、専用ハッカーツール (例: PowerSploit) を使用して、自分をターゲットの所有者に割り当てることができます。

その後、同様の方法を使用して、ターゲットオブジェクトのセキュリティ記述子を編集できます。

修正方法

ソースセキュリティプリンシパルがターゲットオブジェクトの所有者を変更する正当なアクセス許可を持っていない場合は、このアクセス許可を削除する必要があります。

ターゲットオブジェクトのセキュリティ記述子を変更するには

1. 「Active Directory ユーザーとコンピューター」 で、オブジェクトを右クリックし、[プロパティ] > [セキュリティ] > [詳細] を選択します。

2. ソースセキュリティプリンシパルの「所有者の変更」のアクセス許可を削除します。

注意: オブジェクトは、Active Directory ツリーの上位にあるオブジェクトからこのアクセス許可を継承できます。

関連項目

• キー認証情報の追加

• メンバーの追加

• 操作が許可されている

• 委任が許可されている

• GPO に属している

• DCSync

• 操作の許可を付与できる

• SID 履歴あり

• 暗黙的な乗っ取り

• GPO を継承

• リンクされている GPO

• グループのメンバー

• 所有

• パスワードのリセット

• RODC 管理

• DACL の書き込み