Attribuer autorisé à agir

Description

Le principal de sécurité source est autorisé à s'accorder ou à accorder à quelqu'un d'autre une relation Autorisé à agir avec l'ordinateur cible. Cette situation conduit souvent à la compromission totale de l'ordinateur cible par le biais d'une attaque par délégation Kerberos RBCD.

Cela s'explique par le fait que la source a le droit de modifier l'attribut « msDS-AllowedToActOnBehalfOtherIdentity » de la cible.

Un principal de sécurité malveillant qui effectue cette opération peut créer une relation d'attaque « Autorisé à agir ».

Exploitation

Les attaquants qui compromettent le principal de sécurité source doivent modifier l'attribut msDS-AllowedToActOnBehalfOfOtherIdentity de l'ordinateur cible à l'aide de PowerShell (par exemple « Set-ADComputer<target> -PrincipalsAllowedToDelegateToAccount ... »).

Remédiation

Plusieurs principes de sécurité par défaut avec privilèges disposent de cette autorisation, à savoir les opérateurs de compte, les administrateurs, les administrateurs de domaine, les administrateurs d'entreprise et SYSTEM. Ces principaux de sécurité légitimes ne nécessitent pas de remédiation.

Kerberos RBCD est conçu pour que les administrateurs d'un ordinateur puissent accorder les droits de délégation sur l'ordinateur à toute personne qui en a besoin. Cette méthode diffère des autres modes de délégation Kerberos qui requièrent une autorisation au niveau des administrateurs de domaine. Ainsi, les administrateurs de niveau inférieur peuvent gérer eux-mêmes ces paramètres de sécurité, un principe également appelé délégation. Dans ce cas, la relation est légitime.

Toutefois, si le principal de sécurité source n'est pas un administrateur légitime de l'ordinateur cible, la relation n'est pas légitime et vous devez supprimer cette autorisation.

Pour modifier le descripteur de sécurité de l'ordinateur cible :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur Propriétés > Sécurité.

2. Supprimez l'autorisation accordée au principal de sécurité source. Recherchez des autorisations telles que « Write msDS-AllowedToActOnBehalfOfOtherIdentity », « Toutes les propriétés en écriture », « Restrictions de compte en écriture  », « Contrôle total », etc.

 

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier DACL

• Modifier propriétaire