Escribir propietario

Descripción

La entidad de seguridad de origen tiene permiso para cambiar el propietario del objeto de destino, lo que incluye asignarse a sí mismo como propietario. Los propietarios tienen derechos implícitos, “Control de lectura” y “Escribir DACL”, que les permiten obtener derechos adicionales, para sí mismos o para otra persona, y, en última instancia, poner en peligro el objeto de destino.

Para obtener más información, consulte la relación Es propietario.

Explotación

Los atacantes que ponen en peligro la entidad de seguridad de origen pueden asignarse a sí mismos como propietario del destino a través de comandos nativos de Windows (como “dsacls /takeownership”), cmdlets de PowerShell (como “Set-ACL”), herramientas de administración (como “Usuarios y equipos de Active Directory”) o herramientas para hackers dedicadas (como PowerSploit).

Luego pueden editar el descriptor de seguridad del objeto de destino con métodos similares.

Corrección

Si la entidad de seguridad de origen no tiene permiso legítimo para cambiar el propietario del objeto de destino, deberá quitar este permiso.

Para modificar el descriptor de seguridad del objeto de destino:

1. En “Usuarios y equipos de Active Directory”, haga clic con el botón derecho en el objeto y seleccione Propiedades > Seguridad > Opciones avanzadas.

2. Quite el permiso “Modificar propietario” de la entidad de seguridad de origen.

Nota: Un objeto puede heredar el permiso de un objeto situado más arriba en el árbol de Active Directory.

Consulte también

• Agregar credencial de clave

• Agregar miembro

• Puede actuar

• Puede delegar

• Pertenece a GPO

• DCSync

• Concesión dada para actuar

• Tiene historial de SID

• Toma de control implícita

• Heredar GPO

• GPO vinculado

• Miembro de

• Es propietario

• Restablecer la contraseña

• Gestión de RODC

• Escribir DACL