Evaluación de seguridad: las cuentas sin privilegios pueden modificar gpo
En esta recomendación se enumeran los objetos directiva de grupo del entorno que pueden modificar los usuarios estándar, lo que puede provocar el peligro del dominio.
Riesgo de la organización
Los atacantes pueden intentar obtener información sobre directiva de grupo configuración para descubrir vulnerabilidades que se pueden aprovechar para obtener mayores niveles de acceso, comprender las medidas de seguridad implementadas dentro de un dominio e identificar patrones en objetos de dominio. Esta información se puede usar para planear ataques posteriores, como la identificación de posibles rutas de acceso para aprovecharse dentro de la red de destino o la búsqueda de oportunidades para mezclarse o manipular el entorno. Un usuario, servicio o aplicación que se base en estos permisos puede dejar de funcionar.
Pasos de corrección
Revise cuidadosamente cada permiso asignado, identifique los permisos peligrosos concedidos y modifíquelos para quitar los derechos de usuario innecesarios o excesivos.