链接的 GPO

说明

源 GPO 链接到域或组织单位 (OU) 等目标可链接容器。这意味着源 GPO 可以在目标中包含的设备和用户上分配设置和运行程序。源 GPO 还可通过“继承 GPO”关系应用到其下面的容器中的对象。

最终，GPO 会破坏它应用到的设备和用户。

渗透利用

攻击者必须首先通过另一个攻击关系破坏源 GPO。

然后，他们会采用多种技术，对目标及其中的设备和用户执行恶意操作。示例如下：

• 滥用合法的“即时计划任务”在设备上执行任意脚本。

• 在所有设备上添加具有管理权限的新本地用户

• 安装 MSI 程序

• 禁用防火墙或杀毒软件

• 授予更多权限

• 等

攻击者可以使用“组策略管理”等管理工具或 PowerSploit 等专用黑客工具，通过手动编辑 GPO 的内容对其进行修改。

修复

在大多数情况下，将 GPO 链接到可链接容器属于正常且合法的行为。但是，此链接会扩大其出现位置及其所属容器中的攻击面。

因此，为了降低风险，应尽可能将 GPO 链接到组织单位层次结构中的最低级别。

此外，GPO 需要防止攻击者在未经授权的情况下进行修改，以免将其暴露给其他攻击关系。

另请参阅：

• 添加密钥凭据

• 添加成员

• 允许行动

• 允许委派

• 属于 GPO

• DCSync

• 允许行动的授权

• 有 SID 历史记录

• 隐式接管

• 继承 GPO

• 成员归属

• 拥有

• 重置密码

• RODC 管理

• 写入 DACL

• 写入所有者