繼承 GPO

說明

來源可連結容器 (例如組織單位 (OU) 或網域) 而非網站的 LDAP 樹系中包含目標 OU、使用者、裝置、DC 或唯讀網域控制器 (RODC)。這是因為可連結容器的子物件繼承了建立連結時所在的 GPO (請參閱「連結的 GPO」關係)。

每當 OU 封鎖繼承時，Tenable Identity Exposure 都會將其納入考量。

刺探利用

只要攻擊者成功入侵攻擊路徑中的 GPO 上游，就無需利用此關係。按照設計，此關係適用於可連結的容器及其下面的物件，如「繼承 GPO」關係所示。

修復

在大多數情況下，GPO 從其父項容器套用至可連結的子容器是正常且合法動作。但是，此連結會使其他攻擊路徑面臨風險。

因此，為了降低風險，您應該盡可能將 GPO 連結到組織單位階層中的最低層級。

此外，還需要保護 GPO 免遭攻擊者未經授權的修改，以免其暴露於其他攻擊關係。

最後，OU 可以透過其「禁止繼承」選項禁用從高層級繼承 GPO。但是，此選項只能作為最後的手段使用，因為它會禁止所有 GPO，包括在最高網域層級定義的潛在安全性強化 GPO。這也會使關於所套用 GPO 的推理變得更加困難。

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 連結的 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者