GPO erben
Beschreibung
Ein mit der Quelle verknüpfbarer Container wie eine Organisationseinheit (OU) oder eine Domäne (nicht aber Sites) enthält die OE, den Benutzer, das Gerät, den DC oder den schreibgeschützten Domänencontroller (Read-Only Domain Controller, RODC) des Ziels in der LDAP-Struktur. Dies liegt daran, dass die untergeordneten Objekte des verknüpfbaren Containers das GPO erben, mit dem er verknüpft ist (siehe „Verknüpfte GPO”-Beziehungen).
Tenable Identity Exposure berücksichtigt es, wenn eine OE die Vererbung blockiert.
Ausnutzung
Angreifer müssen nichts tun, um diese Beziehung auszunutzen, solange es ihnen gelingt, das GPO auf dem Angriffspfad zu kompromittieren. Die Beziehung gilt für verknüpfbare Container und darunter liegende Objekte, wie die „GPO erben”-Beziehungen zeigen.
Behebung
In den meisten Fällen ist es normal und legitim, dass GPOs auf verknüpfbare untergeordnete Container von ihren übergeordneten Containern angewendet werden. Diese Verknüpfung macht jedoch den Weg für zusätzliche Angriffspfade frei.
Um die Risiken zu verringern, sollten Sie daher GPOs nach Möglichkeit mit der untersten Ebene in der Hierarchie der Organisationseinheiten verknüpfen.
Außerdem müssen GPOs vor unbefugten Änderungen durch Angreifer geschützt werden, um sie nicht anderen Angriffsbeziehungen auszusetzen.
Schließlich können OEs die Vererbung von GPOs von höheren Ebenen durch ihre Option „Vererbung blockieren” deaktivieren. Verwenden Sie diese Option jedoch nur als letzten Ausweg, da sie alle GPOs blockiert, einschließlich der potenziellen Absicherungs-GPOs, die auf der höchsten Domänenebene definiert sind. Dies erschwert auch die Überlegungen zu den angewendeten GPOs.
Siehe auch