リンクされている GPO

説明

ソース GPO は、ドメインや組織単位 (OU) など、ターゲットのリンク可能なコンテナにリンクされています。これは、ソース GPO が設定を割り当てて、ターゲットに含まれるデバイスとユーザーに対してプログラムを実行できることを意味します。ソース GPO は、「GPO を継承」関係を通じて、その下のコンテナ内のオブジェクトにも適用されます。

結果として、GPO は GPO が適用されているデバイスとユーザーを侵害することが可能です。

悪用

攻撃者は、最初に別の攻撃関係を通してソース GPO を侵害する必要があります。

そこから、いくつかの手法を使用して、ターゲットとその下に含まれるデバイスやユーザーに対して悪質なアクションを実行します。次にいくつかの例を示します。

正当な「すぐに実行されるようにスケジュールされたタスク」を悪用し、デバイスで任意のスクリプトを実行する
すべてのデバイスで管理権限を持つ新しいローカルユーザーを追加する
MSI プログラムをインストールする
ファイヤーウォールまたはウイルス対策を無効化する
その他の権利を付与する
-

攻撃者は、「グループポリシー管理」などの管理ツールや PowerSploit などの専用ハッカーツールを使用して GPO コンテンツを手動で編集し、GPO を変更する可能性があります。

修正方法

ほとんどの場合、GPO をリンク可能なコンテナにリンクすることは正常で正当なことです。ただし、このリンクによりアタックサーフェスが拡大し、その下のコンテナ内のアタックサーフェスも拡大します。

したがって、リスクを軽減するために可能なら GPO を組織単位階層の最下位レベルにリンクしてください。

さらに GPO が他の攻撃関係にさらされないように、攻撃者による不正な変更から保護する必要があります。