Sikkerhetsvurdering: GPO tilordner ikke-privilegerte identiteter til lokale grupper med utvidede rettigheter
Denne anbefalingen viser ikke-privilegerte brukere som får utvidede tillatelser gjennom gruppepolicyobjektet.
Organisasjonsrisiko
Hvis du bruker gruppepolicy Objects (GPOer) til å legge til medlemskap i en lokal gruppe, kan det skape en sikkerhetsrisiko hvis målgruppen har overflødige tillatelser eller rettigheter. For å redusere denne risikoen er det viktig å identifisere lokale grupper, for eksempel lokale administratorer eller terminalservertilgang, der godkjente brukere eller alle får tilgang av et gruppepolicyobjekt.
Angripere kan forsøke å få informasjon om gruppepolicy innstillinger for å avdekke sårbarheter som kan utnyttes for å få høyere tilgangsnivåer, forstå sikkerhetstiltakene som er på plass i et domene, og identifisere mønstre i domeneobjekter. Denne informasjonen kan brukes til å planlegge etterfølgende angrep, for eksempel å identifisere potensielle baner for å utnytte i målnettverket eller finne muligheter til å blande seg inn i eller manipulere miljøet.
En bruker, tjeneste eller et program som er avhengig av disse lokale tillatelsene, kan slutte å fungere.
Utbedringstrinn
Se nøye gjennom hvert tilordnede gruppemedlemskap, identifiser eventuelle farlige gruppemedlemskap som er gitt, og endre gruppepolicyobjektet for å fjerne unødvendige eller overflødige brukerrettigheter.