AdminSDHolder

AdminSdHolder protège les objets de domaine contre les changements de permission. "AdminSdHolder" fait référence soit à un objet de domaine, soit à une opération, selon le contexte.

L'opération consiste à ce que le PDC (Principal Domain Controller) restaure toutes les 60 minutes des autorisations ACLs prédéfinies pour les utilisateurs à haut privilège.

L'opération est menée par un processus appelé SDProp (Security Descriptor propagator). SDProp est un processus qui s’exécute toutes les 60 minutes (par défaut) sur le contrôleur de domaine qui contient l’émulateur PDC du domaine (PDCE).

SDProp compare les autorisations sur l’objet AdminSDHolder du domaine avec les autorisations sur les comptes et groupes protégés du domaine. Si les autorisations sur l’un des comptes et groupes protégés ne correspondent pas aux autorisations sur l’objet AdminSDHolder, les autorisations sur les comptes et groupes protégés sont réinitialisées pour correspondre à celles de l’objet AdminSDHolder du domaine.

L'objet AdminSdHolder est situé à l'adresse CN=AdminSdHolder,CN=SYSTEM,DC=DOMAIN,DC=LOCAL.

Par exemple, la DACL de l'objet AdminSdHolder par défaut contient ce qui suit.

  • Utilisateurs authentifiés : Read

  • SYSTEM : Full Control

  • Administrateurs : Modify

  • Administrateurs de domaine : ReadAndExecute

  • Administrateurs d'entreprise : ReadAndExecute

Les objets protégés par défaut sont les suivants :

  • Les membres (éventuellement imbriqués) des groupes suivants : Account Operators, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators

  • les utilisateurs suivants : Administrator, krbtgt

Lorsqu'on parle d'AdminSdHolder, on mentionne généralement l'attribut AdminCount. Les objets protégés par AdminSDHolder ont cet attribut automatiquement défini sur 1 lorsqu'on l'ajoute à un groupe protégé.

Il faut bien noter que l’attribut AdminCount n'est pas remis à 0 lorsque l'utilisateur est retiré d'un groupe protégé. La suppression d'un compte utilisateur après la révocation de ses droits à privilèges élevés est recommandée, sinon le compte peut être utilisé pour créer des backdoors avant que ses droits ne soient supprimés. C’est pourquoi Microsoft ne supprime pas l'entrée de l'attribut AdminCount, car il suppose que le compte va être désactivé ou supprimé.

Si des privilèges suffisants sont obtenus, un attaquant peut abuser de AdminSdHolder pour maintenir la persistance sur un domaine en modifiant la DACL de l'objet AdminSdHolder.

Par exemple, un attaquant pourrait ajouter l'ACE suivant à la DACL de AdminSdHolder : Utilisateur_contrôlé_par_un_attaquant: Full Control

Lors de la prochaine exécution de SDProp, cet utilisateur aura un privilège GenericAll sur tous les objets protégés (Admins de domaine, contrôleurs de domaine, etc.).

Last updated