專案資訊 #1088
進行中專案資訊 #1064: 2025-PenTest
Dangerous Permission over adminSDHolder
100%
概述
bookmark2025052717152717274892035 "Dangerous Permission over adminSDHolder
" "Granting dangerous permissions over the adminSDHolder container enables attackers to bypass security protections for privileged accounts. Since adminSDHolder automatically resets permissions on protected groups, attackers with write access can establish persistent backdoors in critical admin groups, maintaining undetected control even after password rotations.
" "It is essential to meticulously review the permissions assigned to the adminSDHolder object for non-administrative domain objects, ensuring that permissions are granted only for the minimum necessary.
"
檔案
是由 益利 周 於 約 2 個月 前更新
- 檔案 clipboard-202511281000-fvkh0.png clipboard-202511281000-fvkh0.png 已新增
- 狀態 從 New-新增 變更為 Resolved-解决
- 完成百分比 從 0 變更為 100
adminSDHolder 物件是 Active Directory 中保護高權限帳戶的關鍵安全機制。它就像一個「權限範本」,每小時會將其自身的 ACL (存取控制列表) 強制複製到所有受保護的管理員群組(如 Domain Admins, Enterprise Admins, Administrators 等)。
如果非管理員帳戶對 adminSDHolder 擁有寫入(Write)權限,攻擊者就可以修改這個範本,從而在所有受保護的管理群組中建立永久性的後門,即使密碼重設也無法清除。這是一個極其危險的配置錯誤。
核心改善目標是:確保只有最高層級的、受信任的管理員群組對 adminSDHolder 具有寫入權限,並嚴格限制其他所有帳戶的存取。
以下是針對此問題的具體改善因應做法:
1. 識別與稽核目前的 adminSDHolder 權限
2. 移除非必要帳戶的危險權限
開啟 ADSI Edit (adsiedit.msc)。
連線到預設命名內容。
導航至 CN=AdminSDHolder,CN=System,DC=yourdomain,DC=com。
右鍵點擊該物件,選擇**「內容」,然後切換到「安全性」**標籤頁。
仔細審查列表中的群組。針對「Authenticated Users」、「Domain Users」或任何其他非特權管理員群組:
移除任何允許「完全控制」(Full Control)、「寫入所有屬性」(Write All Properties) 或「修改權限」(Modify Permissions) 的「允許」(Allow) 選項。
確保僅剩以下群組擁有寫入或修改權限: Domain Admins, Enterprise Admins, Administrators (內建), SYSTEM。
