继承 GPO

说明

组织单位 (OU) 或域（而非站点）等源可链接容器包含 LDAP 树中的目标 OU、用户、设备、DC 或只读域控制器 (RODC)。这是因为可链接容器的子对象继承了与之链接的 GPO（请参阅“链接的 GPO”关系）。

Tenable Identity Exposure 会将 OU 阻止继承的所有情况考虑在内。

渗透利用

只要攻击者设法破坏攻击路径上游的 GPO，他们便没有必要利用这种关系。按照设计，该关系适用于可链接的容器及其中的对象，正如继承 GPO 关系所示。

修复

在大多数情况下，将 GPO 应用到来自其父容器的可链接子容器属于正常且合法的行为。但是，此链接会暴露其他攻击路径。

因此，为了降低风险，应尽可能将 GPO 链接到组织单位层次结构中的最低级别。

此外，GPO 需要防止攻击者在未经授权的情况下进行修改，以免将其暴露给其他攻击关系。

最后，OU 可通过其“阻止继承”选项禁用更高级别的 GPO 继承。但是，请仅将此选项用作最后手段，因为它会阻止所有 GPO，包括在最高域级别定义的潜在安全强化 GPO。它还会加大对已应用 GPO 进行推理的难度。

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 链接的 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入 DACL

• 写入所有者