Escribir DACL

Descripción

La entidad de seguridad de origen tiene el permiso para cambiar los permisos del objeto de destino en la lista de control de acceso discrecional (DACL). Esto permite que el origen obtenga para sí mismo, o le dé a alguien más, derechos adicionales y, en última instancia, ponga en peligro el objeto de destino.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen solo tienen que editar el descriptor de seguridad del objeto de destino a través de comandos nativos de Windows (como “dsacls”), cmdlets de PowerShell (como “Set-ACL”), herramientas de administración (como “Usuarios y equipos de Active Directory”) o herramientas para hackers dedicadas (como PowerSploit).

Corrección

Si la entidad de seguridad de origen no tiene permiso legítimo para cambiar los permisos del objeto de destino, deberá quitar este permiso.

Para modificar el descriptor de seguridad del objeto de destino:

1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en el objeto y haga clic en Propiedades > Seguridad > Opciones avanzadas.

2. Quite el permiso “Modificar permisos” de la entidad de seguridad de origen.

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir propietario