Agregar miembro

Descripción

La entidad de seguridad de origen puede agregarse a sí misma (derecho de escritura validado), o a cualquier otra (derecho de propiedad de escritura), como miembro del grupo de destino y beneficiarse de los derechos de acceso otorgados al grupo.

Una entidad de seguridad malintencionada que realice esta operación creará una relación de ataque “Miembro de”.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen solo tienen que editar el atributo “miembros” del grupo de destino a través de comandos nativos de Windows (como “net group /domain”), cmdlets de PowerShell (como “Add-ADGroupMember”), herramientas de administración (como “Usuarios y equipos de Active Directory”) o herramientas para hackers dedicadas (como PowerSploit).

Corrección

Si la entidad de seguridad de origen no necesita el derecho de agregar un miembro al grupo de destino, debe quitar este permiso.

Para modificar el descriptor de seguridad del grupo de destino:

1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en Propiedades > Seguridad.

2. Quite permisos, como “Escribir miembros”, “Escribir todas las propiedades”, “Control total”, “Todas las escrituras validadas”, “Add/remove self as member”, etc.

Consulte también

• Agregar credencial de clave

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL

• Escribir propietario