• Wenn wir "ExtendedRight" Berechtigungen auf den Objekttyp User-Force-Change-Password haben, können wir das Passwort des Benutzers zurücksetzen, ohne sein aktuelles Passwort zu kennen.

     

    Was sind "Generic Rights"?

    Zu den Generic Rights gehören GenericAll und GenericWrite, die implizit bestimmte objektspezifische Rechte gewähren. Die Kontrollrechte, die uns interessieren, sind WriteDacl und WriteOwner, die die Änderung der DACL bzw. des Eigentümers eines Objekts ermöglichen. Da der Eigentümer eines Active Directory-Objekts die vollständige Kontrolle über ein Objekt eingeräumt bekommt, ist die Änderung des Eigentümers ein wertvoller Schritt zur Objektübernahme.

     

    Welche Tools können zum Einsatz kommen?

    1. .\PowerView.ps1
    2. Set-DomainUserPassword -Identity User -Verbose

     

    Lösung (Mitigation)

    Hier ist die Empfehlung regelmäßige Audits durchzuführen, um die Delegationen und Gruppenberechtigungen in verschachtelten Gruppen zu überprüfen und gegebenenfalls zu berichtigen.

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum