安全性評估:GPO 會將無特殊許可權的身分識別指派給具有較高許可權的本機群組
此建議會列出透過 GPO 獲得提升許可權的非特殊許可權使用者。
組織風險
使用 群組原則 Objects (GPO) 將成員資格新增至本機群組,可能會在目標組具有過多許可權或許可權時產生安全性風險。 若要降低此風險,請務必識別任何本機群組,例如本機系統管理員或終端伺服器存取權,其中已驗證的使用者或所有人會被 GPO 授與存取權。
攻擊者可能會嘗試取得 群組原則 設定的相關信息,以找出可能利用來取得更高存取層級的弱點、瞭解網域內的安全性措施,以及識別網域物件中的模式。 此資訊可用來規劃後續的攻擊,例如識別在目標網路內惡意探索的潛在路徑,或尋找混合或操作環境的機會。
依賴這些本機許可權的用戶、服務或應用程式可能會停止運作。
補救步驟
仔細檢閱每個指派的群組成員資格、識別授與的任何危險群組成員資格,以及修改 GPO 以移除任何不必要的或過多的用戶權力。