Sanidad de la ejecución de GPO
high
Idioma:
Descripción
Las extensiones del lado cliente (CSE) son componentes que, en general, se ejecutan con privilegios muy altos en una máquina del dominio durante la aplicación del GPO.c Por lo tanto, es fundamental asegurar que cada CSE que se incluya en un GPO esté sana y esté certificada por una entidad de confianza.
También es fundamental que todos los archivos de GPO recuperados de los equipos del dominio se originen de un lugar seguro antes de que se aplique nada.
Solución
Debe quitar las CSE desconocidas que se consideren peligrosas o, si acepta el riesgo, agregarlas a la whitelist. El atributo GpcFileSysPath debe apuntar a una ubicación segura, como el recurso compartido SYSVOL.
Consulte también
Microsoft Open Specification on Group Policy Object (texto en inglés)
Microsoft Open Specification on Client-Side Extension (texto en inglés)
Additional explanations about GPOs and their dangers (texto en inglés)
Boletín MS15-011 con respecto al acceso de tipo UNC protegido
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Sending GPOs Down the Wrong Track-Redirecting the GPT
Exploiting AD gpLink for Good or Evil
Abusing Client-Side Extensions (CSE): A Backdoor into Your AD Environment
Detalles del indicador
Nombre: Sanidad de la ejecución de GPO
Nombre en clave: C-GPO-EXEC-SANITY
Gravedad: High
Tipo: Active Directory Indicator of Exposure
Family: Política y configuración
Herramientas conocidas de atacantes
Synacktiv: GPOddity