GPO 执行的合理性
high
语言:
描述
CSE 是在 GPO 应用过程中通常会在域计算机上以非常高的特权执行的组件。因此,必须确保 GPO 中包含的每个客户端扩展插件 (CSE) 都是合理的,并经过受信任方认证。
同样重要的是,在应用任何内容之前,确保域计算机检索的所有 GPO 文件都来自安全的位置。
解决方案
应删除被认为存在风险的未知 CSE,或者在接受风险的情况下将其列入白名单。 GpcFileSysPath 属性应指向安全位置,如 SYSVOL 共享。
另见
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Sending GPOs Down the Wrong Track-Redirecting the GPT
Exploiting AD gpLink for Good or Evil
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
指标详细信息
名称: GPO 执行的合理性
代码名称: C-GPO-EXEC-SANITY
严重性: High
类型: Active Directory Indicator of Exposure
Family: 策略和配置
- 策略: TA0003 - 持久性
- 策略: TA0008 - 横向移动
攻击者已知工具
Synacktiv: GPOddity