Hérite de GPO
Description
Un conteneur source pouvant être lié, comme une unité d'organisation (UO) ou un domaine (mais pas un site), contient l'unité d'organisation cible, l'utilisateur, le périphérique, le contrôleur de domaine ou le contrôleur de domaine en lecture seule (RODC) dans l'arborescence LDAP. En effet, les objets enfants du conteneur pouvant être lié héritent de la GPO à laquelle il est lié (voir Relations « GPO liée »).
Tenable Identity Exposure tient compte du blocage de l'héritage par une UO.
Exploitation
Les attaquants n'ont rien à faire pour exploiter cette relation tant qu'ils parviennent à compromettre la GPO en amont dans le chemin d'attaque. Conformément à la conception, la relation s'applique aux conteneurs pouvant être liés et aux objets situés en dessous, comme indiqué par les relations d'héritage de GPO.
Remédiation
Dans la plupart des cas, il est normal et légitime que les GPO s'appliquent aux conteneurs enfants pouvant être liés à partir de leurs conteneurs parents. Cependant, ce lien expose des chemins d'attaque supplémentaires.
Par conséquent, afin de réduire les risques, vous devez lier les GPO au niveau le plus bas de la hiérarchie des unités d'organisation, dans la mesure du possible.
De plus, les GPO doivent être protégées contre les modifications par des attaquants, afin de ne pas les exposer à d'autres relations d'attaque.
Enfin, les unités d'organisation peuvent désactiver l'héritage de GPO à partir des niveaux supérieurs grâce à leur option de blocage d'héritage. Cependant, n'utilisez cette option qu'en dernier recours, car elle bloque toutes les GPO, y compris, potentiellement, des GPO de durcissement de la sécurité définies au niveau du domaine le plus élevé. En outre, elle complique la logique liée aux GPO appliquées.
Voir aussi