Modifier DACL

Description

Le principal de sécurité source est autorisé à modifier les autorisations de l'objet cible dans la liste des contrôles d'accès (DACL). Ainsi, la source peut obtenir des droits supplémentaires pour elle-même ou quelqu'un d'autre, et compromettre l'objet cible.

Exploitation

Il suffit aux attaquants qui compromettent le principal de sécurité source de modifier le descripteur de sécurité de l'objet cible à l'aide de commandes Windows natives telles que « dsacls », de commandes PowerShell telles que « Set-ACL », d'outils d'administration tels que « Utilisateurs et ordinateurs Active  Directory » ou d'outils de piratage spécialisés tels que PowerSploit.

Remédiation

Si le principal de sécurité source n'a pas l'autorisation légitime de modifier les autorisations de l'objet cible, vous devez supprimer cette autorisation.

Pour modifier le descripteur de sécurité de l'objet cible :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur l'objet, puis sélectionnez Propriétés > Sécurité > Avancé.

2. Supprimez l'autorisation « Modifier les autorisations » du principal de sécurité source.

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• Attribuer autorisé à agir

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier propriétaire