GPO-Ausführungsintegrität
high
Sprache:
Beschreibung
CSEs sind Komponenten, die während der GPO-Anwendung generell mit sehr hohen Berechtigungen auf einem Domänencomputer ausgeführt werden. Daher ist es unerlässlich, sicherzustellen, dass jede clientseitige Erweiterung (CSE) in einem GPO angemessen ist und von einer vertrauenswürdigen Partei zertifiziert wurde.
Zudem ist es wichtig, dass alle von Domänencomputern abgerufene GPO-Dateien von einem sicheren Ort stammen, bevor eine Anwendung erfolgt.
Lösung
Als gefährlich eingestufte unbekannte CSEs sollten entfernt oder in die Zulassungsliste aufgenommen werden, wenn das Risiko für Sie vertretbar ist. Das Attribut GpcFileSysPath sollte auf einen sicheren Speicherort verweisen, z. B. die SYSVOL-Freigabe.
Siehe auch
Microsoft Open Specifications für Gruppenrichtlinienobjekt
Microsoft Open Specifications zur clientseitigen Erweiterung (CSE)
Weitere Erläuterungen zu GPOs und ihren Risiken
MS15-011 Sicherheitsbulletin zum Härten des UNC-Zugriffs
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Indikatordetails
Name: GPO-Ausführungsintegrität
Codename: C-GPO-EXEC-SANITY
Schweregrad: High
- Taktiken: TA0003 – Persistenz -
- Taktiken: TA0008 – Lateral Movement -
Bekannte Tools von Angreifern
Synacktiv: GPOddity