GPO 執行合理性
high
語系:
說明
CSE 是通常在 GPO 套用期間將在網域裝置上以極高權限執行的元件。因此,務必要確保 GPO 中包含的每個用戶端延伸模組 (CSE) 均為合理,且經過受信任方的認證。
同樣非常重要的是,在套用任何內容前,網域電腦擷取的所有 GPO 檔案需來自安全位置。
解決方案
應移除經判定有危險性的不明 CSE,或在接受風險的情況下將其加入白名單。 GpcFileSysPath 屬性應指向安全的位置,例如 SYSVOL 共用。
另請參閱
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!