セキュリティ評価: GPO は特権のないアカウントによって変更できます
この推奨事項では、ドメインの侵害につながる可能性がある標準ユーザーによって変更できる環境内のグループ ポリシー オブジェクトの一覧を示します。
組織のリスク
攻撃者は、グループ ポリシー設定に関する情報を取得して、より高いレベルのアクセス権を取得するために悪用される可能性のある脆弱性を明らかにし、ドメイン内のセキュリティ対策を理解し、ドメイン オブジェクト内のパターンを特定しようとする可能性があります。 この情報は、ターゲット ネットワーク内で悪用する可能性のあるパスを特定したり、環境に溶け込んだり操作したりする機会を見つけるなど、後続の攻撃を計画するために使用できます。 これらのアクセス許可に依存するユーザー、サービス、またはアプリケーションが機能しなくなる可能性があります。
修復手順
割り当てられた各アクセス許可を慎重に確認し、付与された危険なアクセス許可を特定し、不要または過剰なユーザー権限を削除するように変更します。