Intégrité des stratégies de groupe
high
Langue :
Description
Les Client-Side Extensions (CSE) sont les composants qui seront généralement exécutés avec de très hauts privilèges locaux lors de l'application d'une GPO sur une machine cliente. Par conséquent, il est essentiel de vérifier que toutes les Client-Side Extensions relatives à une GPO soient saines et qu'elles aient été certifiées par un tiers de confiance.
Il est également crucial que tous les fichiers de la GPO ayant été récupérés par un ordinateur du domaine proviennent d'un endroit sûr avant qu'ils ne soient appliqués ou exécutés.
Solution
Les CSE inconnues doivent être retirées si elles ont été considérées comme dangereuses, ou ajoutées à la liste de confiance en cas d'acceptation du risque.
L'attribut GpcFileSysPath doit pointer vers un chemin sécurisé, tel que le partage SYSVOL.
Voir aussi
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Sending GPOs Down the Wrong Track-Redirecting the GPT
Exploiting AD gpLink for Good or Evil
Microsoft Open Specification - Client-Side Extension
Explications complémentaires concernant les GPO et leurs dangers
Bulletin MS15-011 au sujet des chemins d'accès UNC renforcés