Intégrité des stratégies de groupe
high
Langue :
Description
Les Client-Side Extensions (CSE) sont les composants qui seront généralement exécutés avec de très hauts privilèges locaux lors de l'application d'une GPO sur une machine cliente. Il est donc essentiel de vérifier que toutes les Client-Side Extension (CSE) relatives à une GPO soient saines et qu'elles aient été certifiées par un tiers de confiance.
Il est également crucial que tous les fichiers de la GPO ayant été récupérés par un ordinateur du domaine proviennent d'un endroit sûr, avant qu'ils ne soient appliqués.
Solution
Les CSE inconnues doivent être retirées si elles ont été considérées comme dangereuses, ou ajoutées à la liste de confiance en cas d'acceptation du risque. L'attribut GpcFileSysPath doit pointer vers un chemin sécurisé, tel que le partage SYSVOL.
Voir aussi
Explications complémentaires concernant les GPO et leurs dangers
Microsoft Open Specification - Stratégies de Groupe
Bulletin MS15-011 au sujet des chemins d'accès UNC renforcés
Microsoft Open Specification - Client-Side Extension
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!