Modifier propriétaire

Description

Le principal de sécurité source est autorisé à modifier le propriétaire de l'objet cible, et peut se désigner lui-même comme propriétaire. Les propriétaires ont des droits implicites (« Contrôle en lecture » et « Modifier DACL ») qui leur permettent d'obtenir des droits supplémentaires, pour eux-mêmes ou pour quelqu'un d'autre, et donc de compromettre l'objet cible.

Pour plus d'informations, voir la relation Détient.

Exploitation

Les attaquants qui compromettent le principal de sécurité source peuvent se désigner comme propriétaire de la cible en utilisant des commandes Windows natives telles que « dsacls/takeownership », des commandes PowerShell telles que « Set-ACL », des outils d'administration tels que « Utilisateurs et ordinateurs Active  Directory » ou des outils de piratage spécialisés tels que PowerSploit.

Ils peuvent ensuite modifier le descripteur de sécurité de l'objet cible en utilisant des méthodes similaires.

Remédiation

Si le principal de sécurité source n'a pas l'autorisation légitime de modifier le propriétaire de l'objet cible, vous devez supprimer cette autorisation.

Pour modifier le descripteur de sécurité de l'objet cible :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur l'objet, puis sélectionnez Propriétés > Sécurité > Avancé.

2. Supprimez l'autorisation « Modifier le propriétaire » du principal de sécurité source.

Remarque : un objet peut hériter de cette autorisation d'un objet situé plus haut dans l'arborescence Active Directory.

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• Attribuer autorisé à agir

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier DACL