Intégrité des stratégies de groupe
high
Langue :
Description
Les Client-Side Extensions (CSE) sont les composants qui seront généralement exécutés avec de très hauts privilèges locaux lors de l'application d'une GPO sur une machine cliente. Il est donc essentiel de vérifier que toutes les Client-Side Extension (CSE) relatives à une GPO soient saines et qu'elles aient été certifiées par un tiers de confiance.
Il est également crucial que tous les fichiers de la GPO ayant été récupérés par un ordinateur du domaine proviennent d'un endroit sûr, avant qu'ils ne soient appliqués.
Solution
Les CSE inconnues doivent être retirées si elles ont été considérées comme dangereuses, ou ajoutées à la liste de confiance en cas d'acceptation du risque. L'attribut GpcFileSysPath doit pointer vers un chemin sécurisé, tel que le partage SYSVOL.
Voir aussi
Microsoft Open Specification - Stratégies de Groupe
Microsoft Open Specification - Client-Side Extension
Explications complémentaires concernant les GPO et leurs dangers
Bulletin MS15-011 au sujet des chemins d'accès UNC renforcés
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!
Détails de l'indicateur
Nom: Intégrité des stratégies de groupe
Nom de code: C-GPO-EXEC-SANITY
Niveau de gravité: High
- Tactiques: TA0003 - Persistance
- Tactiques: TA0008 - Mouvement latéral
Outils connus des attaquants
Synacktiv: GPOddity