Es propietario
Descripción
La entidad de seguridad de origen es el propietario declarado del objeto de destino porque probablemente creó el objeto de destino. Los propietarios tienen derechos implícitos (“Control de lectura” y “Escritura DACL”) que les permiten obtener derechos adicionales, para sí mismos o para otra persona, y, en última instancia, poner en peligro el objeto de destino.
Explotación
Los atacantes que ponen en peligro la entidad de seguridad de origen solo tienen que editar el descriptor de seguridad del objeto de destino a través de comandos nativos de Windows (como “dsacls”), cmdlets de PowerShell (como “Set-ACL”), herramientas de administración (como “Usuarios y equipos de Active Directory”) o herramientas para hackers dedicadas (como PowerSploit).
Cuando se crea un objeto, existe el riesgo de escalamiento de privilegios si un usuario con pocos privilegios lo crea y, por lo tanto, es su propietario (por ejemplo, un técnico de soporte estándar) y, luego, se elevan los privilegios de ese objeto (por ejemplo, a administrador). El propietario original permanece y ahora puede poner en peligro el objeto recientemente privilegiado para aprovechar sus privilegios.
Corrección
Si la entidad de seguridad de origen no es miembro legítimo del objeto de destino, debe cambiarlo.
Para cambiar el propietario del objeto de destino:
-
En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en Propiedades > Seguridad > Opciones avanzadas.
-
En la línea Propietario del principio, haga clic en Cambiar.
Los propietarios de objetos de destino seguros usados de manera predeterminada para la mayoría de los objetos confidenciales de Active Directory son:
-
Objetos en la partición del dominio: “Administradores” o “Administradores de dominio”
-
Objetos en la partición de configuración: “Administradores de empresas”
-
Objetos en la partición de esquema: “Administradores de esquema”
Consulte también