GPO を継承
説明
LDAP ツリーでは、組織単位 (OU) やドメインなど (サイトは除く)、ソースのリンク可能なコンテナには、ターゲット OU、ユーザー、デバイス、ドメインコントローラー (DC)、読み取り専用ドメインコントローラー (RODC) が含まれています。これは、リンク可能なコンテナの子オブジェクトが、リンクされている GPO を継承するためです(「リンクされている GPO」関係を参照)。
Tenable Identity Exposure は、OU による継承のブロックを必ず考慮に含めます。
悪用
攻撃者が攻撃経路の GPO 上流を侵害することができる限り、攻撃者はこの関係を悪用するために何もする必要はありません。GPO 関係の継承に示されているように、関係は、設計上、リンク可能なコンテナとその下のオブジェクトに適用されます。
修正方法
ほとんどの場合、GPO が親コンテナからリンク可能な子コンテナに適用されるのは正常かつ正当なことです。ただし、このリンクがその他の攻撃経路を露出してしまいます。
したがって、リスクを軽減するために可能なら GPO を組織単位階層の最下位レベルにリンクしてください。
さらに GPO が他の攻撃関係にさらされないように、攻撃者による不正な変更から保護する必要があります。
最後に、OU は「継承のブロック」オプションを使用して、より高いレベルからの GPO 継承を無効にできます。ただし、このオプションではすべての GPO (最高のドメインレベルで定義された潜在的なセキュリティ強化 GPO も含む) がブロックされるため、最後の手段としてのみ使用してください。ブロックすると、適用されている GPO の正当性を判断することもより困難になります。
関連項目