Verknüpftes GPO

Beschreibung

Das Quell-GPO wird mit dem verknüpfbaren Ziel-Container verknüpft, z. B. einer Domäne oder einer Organisationseinheit (OU). Dies bedeutet, dass das Quell-GPO Einstellungen zuweisen und Programme auf den im Ziel enthaltenen Geräten und Benutzern ausführen kann. Das Quell-GPO gilt auch für Objekte in den darunter liegenden Containern durch „GPO erben”-Beziehungen.

Letztendlich kann das GPO die Geräte und Benutzer gefährden, auf die es angewendet wird.

Ausnutzung

Angreifer müssen zunächst das Quell-GPO durch eine andere Angriffsbeziehung kompromittieren.

Dann setzen sie verschiedene Techniken ein, um böswillige Aktionen auf Geräten und Benutzern innerhalb und unterhalb des Ziels durchzuführen. Beispiele:

  • Missbrauch der legitimen „unmittelbar geplanten Aufgaben” zur Ausführung beliebiger Skripts auf Geräten

  • Hinzufügen eines neuen lokalen Benutzers mit Verwaltungsrechten auf allen Geräten

  • Installieren eines MSI-Programms

  • Deaktivieren der Firewall oder des Virenschutzes

  • Erteilung weiterer Rechte

  • usw.

Angreifer können ein GPO ändern, indem sie dessen Inhalt manuell mit Verwaltungstools wie „Gruppenrichtlinienverwaltung“ oder speziellen Hacker-Tools wie PowerSploit bearbeiten.

Behebung

In den meisten Fällen ist es normal und legitim, ein GPO mit einem verknüpfbaren Container zu verknüpfen. Diese Verknüpfung vergrößert jedoch die Angriffsfläche dort, wo sie auftritt, sowie in den darunter liegenden Containern.

Um die Risiken zu verringern, sollten Sie daher GPOs nach Möglichkeit mit der untersten Ebene in der Hierarchie der Organisationseinheiten verknüpfen.

Außerdem müssen GPOs vor unbefugten Änderungen durch Angreifer geschützt werden, um sie nicht anderen Angriffsbeziehungen auszusetzen.

Siehe auch