連結的 GPO

說明

來源 GPO 連結至目標可連結容器，例如網域或組織單位 (OU)。這表示來源 GPO 可指派設定，並在目標中包含的裝置和使用者環境中執行程式。來源 GPO 也透過「繼承 GPO」關係套用至其下層容器中的物件。

最終，GPO 可能危害套用它的裝置和使用者。

利用

攻擊者必須先透過另一個攻擊關係入侵來源 GPO。

然後，他們可以採用數種技術，對目標及其下層所包含的裝置和使用者執行惡意動作。例如：

• 濫用合法的「直接排程任務」在裝置上執行任意指令碼。

• 在所有裝置上新增具有管理權限的本機使用者

• 安裝 MSI 程式

• 停用防火牆或防毒程式

• 授予進一步權限

• 等等

攻擊者可使用管理工具 (例如「群組原則管理」) 或專用的駭客工具 (例如 PowerSploit)，透過手動編輯 GPO 的內容來修改 GPO。

修復

在大多數情況下，將 GPO 連結至可連結的容器是正常且合法的動作。但是，此連結會增加所在位置及其下方容器中的攻擊破綻。

因此，為了降低風險，您應該盡可能將 GPO 連結到組織單位階層中的最低層級。

此外，還需要保護 GPO 免遭攻擊者未經授權的修改，以免其暴露於其他攻擊關係。

另請參閱

• 新增金鑰憑證

• 新增成員

• 允許行動

• 允許委派

• 屬於 GPO

• DCSync

• 授權允許行動

• 有 SID 歷程記錄

• 隱含接管

• 繼承 GPO

• 成員隸屬於

• 擁有

• 重設密碼

• RODC 管理

• 寫入 DACL

• 寫入所有者