Prise de contrôle implicite

Description

La source est un principal de sécurité Tier 0. Tier 0 (niveau 0) est l'ensemble des objets Active Directory qui disposent des privilèges les plus élevés dans le domaine, tels que les membres du groupe Administrateurs de domaine ou Contrôleurs de domaine. Tous les assets Tier 0 peuvent implicitement compromettre tout autre objet du domaine, même s'il n'existe aucune autre relation explicite.

Cette relation permet de modéliser des droits implicites intégrés à Active Directory. Ces droits étant propres à la conception et documentés, les attaquants les connaissent. Cependant, Tenable Identity Exposure ne peut pas collecter ces droits par des moyens standards. De plus, cette relation simplifie les graphes de chemin d'attaque, car dès que les attaquants compromettent un nœud Tier 0, ils peuvent attaquer directement n'importe quel autre objet sans passer par d'autres relations explicites.

En résumé, les assets Tier 0 source sont considérés comme ayant tous des relations de « prise de contrôle implicite » avec n'importe quel nœud cible du graphe.

Exploitation

La méthode d'exploitation exacte dépend du type d'asset Tier 0 source ciblé, mais ce sont des techniques bien documentées que les attaquants maîtrisent efficacement.

Remédiation

Cette relation est propre à la conception, et vous ne pouvez pas y remédier. Il est presque impossible d'empêcher un attaquant qui atteint un asset Tier 0 de poursuivre ses attaques.

Les efforts de remédiation doivent se concentrer sur les relations en amont dans les chemins d'attaque.

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• Attribuer autorisé à agir

• A un historique SID

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier DACL

• Modifier propriétaire