AdminSDHolder
AdminSdHolder protÚge les objets de domaine contre les changements de permission. "AdminSdHolder" fait référence soit à un objet de domaine, soit à une opération, selon le contexte.
L'opération consiste à ce que le PDC (Principal Domain Controller) restaure toutes les 60 minutes des autorisations ACLs prédéfinies pour les utilisateurs à haut privilÚge.
L'opĂ©ration est menĂ©e par un processus appelĂ© SDProp (Security Descriptor propagator). SDProp est un processus qui sâexĂ©cute toutes les 60 minutes (par dĂ©faut) sur le contrĂŽleur de domaine qui contient lâĂ©mulateur PDC du domaine (PDCE).
SDProp compare les autorisations sur lâobjet AdminSDHolder du domaine avec les autorisations sur les comptes et groupes protĂ©gĂ©s du domaine. Si les autorisations sur lâun des comptes et groupes protĂ©gĂ©s ne correspondent pas aux autorisations sur lâobjet AdminSDHolder, les autorisations sur les comptes et groupes protĂ©gĂ©s sont rĂ©initialisĂ©es pour correspondre Ă celles de lâobjet AdminSDHolder du domaine.
L'objet AdminSdHolder est situé à l'adresse CN=AdminSdHolder,CN=SYSTEM,DC=DOMAIN,DC=LOCAL
.
Par exemple, la DACL de l'objet AdminSdHolder par défaut contient ce qui suit.
Utilisateurs authentifiés : Read
SYSTEM : Full Control
Administrateurs : Modify
Administrateurs de domaine : ReadAndExecute
Administrateurs d'entreprise : ReadAndExecute
Les objets protégés par défaut sont les suivants :
Les membres (éventuellement imbriqués) des groupes suivants : Account Operators, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators
les utilisateurs suivants : Administrator, krbtgt
Lorsqu'on parle d'AdminSdHolder, on mentionne généralement l'attribut AdminCount. Les objets protégés par AdminSDHolder ont cet attribut automatiquement défini sur 1 lorsqu'on l'ajoute à un groupe protégé.
Il faut bien noter que lâattribut AdminCount n'est pas remis Ă 0 lorsque l'utilisateur est retirĂ© d'un groupe protĂ©gĂ©. La suppression d'un compte utilisateur aprĂšs la rĂ©vocation de ses droits Ă privilĂšges Ă©levĂ©s est recommandĂ©e, sinon le compte peut ĂȘtre utilisĂ© pour crĂ©er des backdoors avant que ses droits ne soient supprimĂ©s. Câest pourquoi Microsoft ne supprime pas l'entrĂ©e de l'attribut AdminCount, car il suppose que le compte va ĂȘtre dĂ©sactivĂ© ou supprimĂ©.
Si des privilĂšges suffisants sont obtenus, un attaquant peut abuser de AdminSdHolder pour maintenir la persistance sur un domaine en modifiant la DACL de l'objet AdminSdHolder.
Par exemple, un attaquant pourrait ajouter l'ACE suivant à la DACL de AdminSdHolder : Utilisateur_contrÎlé_par_un_attaquant: Full Control
Lors de la prochaine exécution de SDProp, cet utilisateur aura un privilÚge GenericAll sur tous les objets protégés (Admins de domaine, contrÎleurs de domaine, etc.).
Last updated
Was this helpful?