安全评估:无特权帐户可以修改 GPO
此建议列出了环境中可由标准用户修改的任何组策略对象,这些对象可能会导致域泄露。
组织风险
攻击者可能会尝试获取有关组策略设置的信息,以发现可以利用这些漏洞获取更高级别的访问、了解域中的安全措施以及识别域对象中的模式。 此信息可用于规划后续攻击,例如确定在目标网络内利用的潜在路径,或查找混合或操作环境的机会。 依赖于这些权限的用户、服务或应用程序可能会停止运行。
修正步骤
仔细查看每个分配的权限,确定授予的任何危险权限,并对其进行修改以删除任何不必要的或过多的用户权限。