Ajouter un membre

Description

Le principal de sécurité source peut s'ajouter lui-même (droit d'écriture validé), ou une autre personne (droit de propriété en écriture), aux membres du groupe Cible et bénéficier des droits d'accès accordés au groupe.

Un principal de sécurité malveillant qui effectue cette opération crée une relation d'attaque « Membre de ».

Exploitation

Les attaquants qui compromettent le principal de sécurité source n'ont qu'à modifier l'attribut « membres » du groupe cible à l'aide de commandes Windows natives telles que « net group/domain », de commandes PowerShell comme « Add-ADGroupMember », d'outils d'administration tels que « Utilisateurs et ordinateurs Active Directory » ou d'outils de piratage dédiés tels que PowerSploit.

Remédiation

Si le principal de sécurité source n'a pas besoin du droit d'ajouter un membre au groupe cible, vous devez supprimer cette autorisation.

Pour modifier le descripteur de sécurité du groupe cible :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur Propriétés > Sécurité.

2. Supprimez les autorisations telles que « Write Members » (Écrire les membres), « Write all properties » (Écrire toutes les propriétés), « Full control » (Contrôle total), « All validated writes » (Toutes les écritures validées), « Add/remove self as member » (Ajouter/supprimer soi-même en tant que membre), etc.

Voir aussi

• Ajouter des identifiants de clé

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• Attribuer autorisé à agir

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier DACL

• Modifier propriétaire