Säkerhetsutvärdering: GPO tilldelar icke-privilegierade identiteter till lokala grupper med förhöjd behörighet
Den här rekommendationen visar icke-privilegierade användare som beviljas utökade behörigheter via grupprincipobjektet.
Organisationsrisk
Om du använder grupprincip objekt (GPO: er) för att lägga till medlemskap i en lokal grupp kan det skapa en säkerhetsrisk om målgruppen har för höga behörigheter eller rättigheter. För att minska den här risken är det viktigt att identifiera alla lokala grupper, till exempel lokala administratörer eller terminalserveråtkomst, där autentiserade användare eller Alla beviljas åtkomst av ett grupprincipobjekt.
Angripare kan försöka få information om grupprincip inställningar för att upptäcka sårbarheter som kan utnyttjas för att få högre åtkomstnivåer, förstå de säkerhetsåtgärder som finns i en domän och identifiera mönster i domänobjekt. Den här informationen kan användas för att planera efterföljande attacker, till exempel identifiera potentiella vägar att utnyttja i målnätverket eller hitta möjligheter att blanda i eller manipulera miljön.
En användare, tjänst eller ett program som förlitar sig på dessa lokala behörigheter kan sluta fungera.
Reparationssteg
Granska noggrant varje tilldelat gruppmedlemskap, identifiera eventuella farliga gruppmedlemskap som beviljats och ändra grupprincipobjektet för att ta bort onödiga eller överdrivna användarrättigheter.