偵測

Plugin

關於 Plugin 系列

指標

攻擊指標 (IoA)

曝險指標 (IoE)

GPO 執行合理性

high

語系：

說明

CSE 是通常在 GPO 套用期間將在網域裝置上以極高特權執行的元件。因此，務必要確保 GPO 中包含的每個用戶端延伸模組 (CSE) 均為合理，且經過受信任方的認證。

同樣非常重要的是，在套用任何內容前，網域電腦擷取的所有 GPO 檔案需來自安全位置。

解決方案

應移除經判定有危險性的不明 CSE，或在接受風險的情況下將其加入白名單。 GpcFileSysPath 屬性應指向安全的位置，例如 SYSVOL 共用。

另請參閱

關於群組原則物件的 Microsoft 開放規格

關於用戶端延伸模組的 Microsoft 開放規格

關於 GPO 及其危險的其他說明

關於「UNC 硬式存取」的 MS15-011 公告

GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!

Sending GPOs Down the Wrong Track-Redirecting the GPT

Exploiting AD gpLink for Good or Evil

指標詳細資料

名稱: GPO 執行合理性

代碼名稱: C-GPO-EXEC-SANITY

嚴重性: High

MITRE 攻擊資訊:

手法: TA0003 - 長期潛伏
手法: TA0008 - 橫向移動

攻擊者已知工具

Synacktiv: GPOddity