Sicherheitsbewertung: Ein GPO weist lokalen Gruppen mit erhöhten Berechtigungen nicht privilegierte Identitäten zu.
Diese Empfehlung listet nicht privilegierte Benutzer auf, denen über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) erhöhte Berechtigungen gewährt werden.
Organisationsrisiko
Die Verwendung von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) zum Hinzufügen von Mitgliedern zu einer lokalen Gruppe kann ein Sicherheitsrisiko darstellen, wenn die Zielgruppe über übermäßige (zu hohe bzw. nicht erforderliche) Berechtigungen oder Rechte verfügt. Um dieses Risiko zu mindern, ist es wichtig, alle lokale Gruppen (z. B. lokale Administratoren oder Gruppen mit Terminalserverzugriff) zu identifizieren, bei denen den Gruppen „Authentifizierte Benutzer” oder „Jeder” durch ein GPO Zugriff gewährt wird.
Angreifer können versuchen, Informationen zu Gruppenrichtlinieneinstellungen zu erhalten, um Sicherheitsrisiken aufzudecken, die ausgenutzt werden können, um höhere Zugriffsebenen zu erlangen, die vorhandenen Sicherheitsmaßnahmen in einer Domäne zu verstehen und Muster in Domänenobjekten zu identifizieren. Diese Informationen können verwendet werden, um nachfolgende Angriffe zu planen, z. B. um potenzielle Pfade zu identifizieren, die innerhalb des Zielnetzwerks ausgenutzt werden können, oder um Möglichkeiten zu finden, sich in die Umgebung einzuschleichen oder diese zu manipulieren.
Benutzer, Dienste oder Anwendungen, die auf diese lokalen Berechtigungen angewiesen sind, sind möglicherweise nicht mehr funktionsfähig.
Schritte zur Bereinigung
Überprüfen Sie jede zugewiesene Gruppenmitgliedschaft sorgfältig. Identifizieren Sie alle risikoreichen Gruppenmitgliedschaften, die gewährt werden, und ändern Sie das GPO, um alle unnötigen oder übermäßigen Benutzerrechte zu entfernen.