Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Объект групповой политики назначает непривилегированные удостоверения локальным группам с повышенными привилегиями
Описание
Использование объектов групповая политика (GPO) для добавления членства в локальную группу может создать угрозу безопасности, если целевая группа имеет чрезмерные разрешения или права. Чтобы снизить этот риск, важно определить все локальные группы, например локальных администраторов или доступ к серверу терминалов, где объект групповой политики предоставляет доступ прошедшим проверку подлинности пользователям или всем.
Злоумышленники могут попытаться получить сведения о параметрах групповая политика, чтобы выявить уязвимости, которые можно использовать для получения более высокого уровня доступа, понимания мер безопасности, принятых в домене, и выявления закономерностей в объектах домена. Эти сведения можно использовать для планирования последующих атак, таких как определение потенциальных путей для использования в целевой сети или поиск возможностей для смешивания среды или управления ею.
Влияние на пользователей
Пользователь, служба или приложение, которые используют эти локальные разрешения, могут перестать работать.
Реализация
В этой рекомендации перечислены не привилегированные пользователи, которым предоставляются повышенные разрешения через объект групповой политики.
Внимательно проверьте каждое назначенное членство в группе, определите любое предоставленное опасное членство в группе и измените объект групповой политики, чтобы удалить ненужные или чрезмерные права пользователя.
Объект групповой политики может быть изменен непривилегированных учетных записей
Описание
В этой рекомендации перечислены все групповая политика объекты в вашей среде, которые могут быть изменены обычными пользователями, что может привести к компрометации домена.
Злоумышленники могут попытаться получить сведения о параметрах групповая политика, чтобы выявить уязвимости, которые можно использовать для получения более высокого уровня доступа, понимания мер безопасности, принятых в домене, и выявления закономерностей в объектах домена. Эти сведения можно использовать для планирования последующих атак, таких как определение потенциальных путей для использования в целевой сети или поиск возможностей для смешивания среды или управления ею.
Влияние на пользователей
Пользователь, служба или приложение, которые используют эти разрешения, могут перестать работать.
Реализация
Внимательно просмотрите каждое назначенное разрешение, определите все предоставленные опасные разрешения и измените их, чтобы удалить ненужные или чрезмерные права пользователя.
Обратимые пароли, найденные в объектов групповой политики
Эта рекомендация содержит список объектов групповой политики в вашей среде, содержащих данные паролей.
Описание
Групповая политика настройки (GPP) ранее разрешали администраторам включать внедренные учетные данные в политики домена. Однако эта функция была удалена с выпуском MS14-025 из-за проблем безопасности, связанных с небезопасным хранением паролей. Файлы, содержащие эти учетные данные, могут по-прежнему присутствовать в папке SYSVOL, что означает, что любой пользователь домена может получить доступ к файлам и расшифровать пароль с помощью общедоступного ключа AES.
Чтобы предотвратить потенциальную эксплуатацию злоумышленниками, рекомендуется удалить все существующие настройки, содержащие внедренные учетные данные.
Реализация
Чтобы удалить параметры, содержащие данные паролей, используйте консоль управления групповая политика (GPMC) на контроллере домена или из клиента, на котором установлены средства удаленного администрирования сервера (RSAT). Вы можете удалить любые предпочтения, выполнив следующие действия:
В GPMC откройте групповая политика, о которых сообщается на вкладке Предоставляемые сущности.
Перейдите к конфигурации предпочтения, содержащей данные пароля, и удалите объект . Нажмите кнопки Применить и ОК , чтобы сохранить изменения.
Дождитесь групповая политика цикла обновления, чтобы разрешить распространение изменений на клиенты (обычно до 120 минут).
После того как изменения будут применены ко всем клиентам, удалите предпочтения.
Повторите шаги 1–5 при необходимости, чтобы очистить всю среду.