Détient

Description

Le principal de sécurité source est le propriétaire déclaré de l'objet cible, car il l'a probablement créé. Les propriétaires ont des droits implicites (« Contrôle en lecture » et « Modifier DACL ») qui leur permettent d'obtenir des droits supplémentaires, pour eux-mêmes ou pour quelqu'un d'autre, et donc de compromettre l'objet cible.

Exploitation

Il suffit aux attaquants qui compromettent le principal de sécurité source de modifier le descripteur de sécurité de l'objet cible à l'aide de commandes Windows natives telles que « dsacls », de commandes PowerShell telles que « Set-ACL », d'outils d'administration tels que « Utilisateurs et ordinateurs Active  Directory » ou d'outils de piratage spécialisés tels que PowerSploit.

La création d'un objet entraîne un risque d'élévation des privilèges. C'est le cas si un utilisateur à faibles privilèges (par exemple, un technicien du service d'assistance standard) crée un objet et que cet objet reçoit ensuite des privilèges plus élevés – de niveau administrateur, par exemple. Le propriétaire d'origine demeure et peut désormais compromettre l'objet possédant ces nouveaux privilèges pour en profiter.

Remédiation

Si le principal de sécurité source n'est pas un propriétaire légitime de l'objet cible, vous devez le modifier.

Pour changer le propriétaire de l'objet cible :

  1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur Propriétés > Sécurité > Avancé.

  2. Sur la ligne Propriétaire en haut, cliquez sur Modifier.

Les propriétaires d'objets cible sûrs, utilisés par défaut pour les objets Active Directory les plus sensibles, sont :

  • Objets dans la partition Domaine : « Administrateurs » ou « Administrateurs de domaine »

  • Objets dans la partition Configuration : « Administrateurs d'entreprise »

  • Objets dans la partition Schéma : « Administrateurs de schéma »

Voir aussi