Sikkerhedsvurdering: Gruppepolitik tildeler ikke-privilegerede identiteter til lokale grupper med administratorrettigheder
Denne anbefaling viser de brugere, der ikke har rettigheder, og som har fået administratorrettigheder via GPO.
Organisationsrisiko
Hvis du bruger Gruppepolitik-objekter til at føje medlemskab til en lokal gruppe, kan det medføre en sikkerhedsrisiko, hvis målgruppen har overdrevne tilladelser eller rettigheder. For at afhjælpe denne risiko er det vigtigt at identificere lokale grupper, f.eks. lokale administratorer eller terminalserveradgang, hvor godkendte brugere eller alle er tildelt adgang af et gruppepolitikobjekt.
Personer med ondsindede hensigter kan forsøge at få oplysninger om Gruppepolitik indstillinger for at afdække sikkerhedsrisici, der kan udnyttes til at få højere adgangsniveauer, forstå de sikkerhedsforanstaltninger, der er på plads i et domæne, og identificere mønstre i domæneobjekter. Disse oplysninger kan bruges til at planlægge efterfølgende angreb, f.eks. identificere potentielle stier, der kan udnyttes på målnetværket, eller finde muligheder for at blande sig i eller manipulere miljøet.
En bruger, tjeneste eller et program, der er afhængig af disse lokale tilladelser, kan holde op med at fungere.
Afhjælpningstrin
Gennemse omhyggeligt hvert tildelt gruppemedlemskab, identificer eventuelle farlige gruppemedlemskaber, der er tildelt, og rediger gruppepolitikobjektet for at fjerne alle unødvendige eller overdrevne brugerrettigheder.