tags: Group_Policy_Modification active_directory
I criteri di gruppo vengono utilizzati per gestire le risorse e le loro impostazioni di configurazione come opzioni di sicurezza, chiavi di registro e membri del dominio. Tutti gli account utente hanno accesso in lettura agli oggetti Criteri di gruppo per impostazione predefinita e l’accesso in scrittura è fornito solo a utenti o gruppi specifici all’interno del dominio.
\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ Gli aggressori utilizzano il percorso sopra per accedere alle politiche del gruppo di domini e modificarle per eseguire attività non intenzionali come la creazione di un nuovo account, la disabilitazione o la modifica di strumenti interni, il trasferimento di servizi indesiderati e la modifica della politica per estrarre le password in testo normale.
<GPO_PATH>\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml Gli aggressori utilizzano il percorso sopra per modificare il file ScheduledTasks.xml per creare un’attività / lavoro pianificato dannoso utilizzando script come New-GPOImmediateTask.
<GPO_PATH>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.infGli aggressori utilizzano il percorso sopra per modificare determinati diritti utente come SeEnableDelegationPrivilege per creare una backdoor. Quindi, gli aggressori controllano l’account utente per modificare le impostazioni della politica di gruppo.