GPO liée

Description

La GPO source est liée au conteneur cible, tel qu'un domaine ou une unité d'organisation (UO). Cela signifie que la GPO source peut attribuer des paramètres et exécuter des programmes sur les appareils et les utilisateurs contenus dans la cible. La GPO source s'applique également aux objets dans les conteneurs situés en dessous via les relations « Hérite de GPO ».

En fin de compte, la GPO peut compromettre les appareils et les utilisateurs sur lesquels elle s'applique.

Exploitation

Les attaquants doivent d'abord compromettre la GPO source via une autre relation d'attaque.

Ensuite, ils emploient plusieurs techniques pour effectuer des actions malveillantes sur les appareils et les utilisateurs contenus dans la cible et ceux en dessous. Exemples :

Abus de « tâches planifiées immédiates » légitimes pour exécuter des scripts arbitraires sur les appareils.
Ajout d'un nouvel utilisateur local avec des droits d'administration sur tous les appareils
Installation d'un programme MSI
Désactivation du pare-feu ou de l'antivirus
Octroi de droits supplémentaires
etc.

Les attaquants peuvent modifier une GPO en éditant manuellement son contenu à l'aide d'outils d'administration tels que « Gestion des stratégies de groupe » ou d'outils de piratage dédiés tels que PowerSploit.

Remédiation

Dans la plupart des cas, lier une GPO à un conteneur pouvant être lié est normal et légitime. Cependant, cette liaison augmente la surface d'attaque là où elle se produit, ainsi que dans les conteneurs en dessous.

Par conséquent, afin de réduire les risques, vous devez lier les GPO au niveau le plus bas de la hiérarchie des unités d'organisation, dans la mesure du possible.

De plus, les GPO doivent être protégées contre les modifications par des attaquants, afin de ne pas les exposer à d'autres relations d'attaque.

Voir aussi