セキュリティ評価: GPO は特権のない ID を昇格された特権を持つローカル グループに割り当てます
この推奨事項では、GPO を通じて昇格されたアクセス許可が付与されている特権のないユーザーの一覧を示します。
組織のリスク
グループ ポリシー オブジェクト (GPO) を使用してローカル グループにメンバーシップを追加すると、ターゲット グループに過剰なアクセス許可または権限がある場合、セキュリティ リスクが発生する可能性があります。 このリスクを軽減するには、ローカル管理者やターミナル サーバー アクセスなどのローカル グループを特定することが重要です。ここで、認証済みユーザーまたはすべてのユーザーに GPO によるアクセスが許可されます。
攻撃者は、グループ ポリシー設定に関する情報を取得して、より高いレベルのアクセス権を取得するために悪用される可能性のある脆弱性を明らかにし、ドメイン内のセキュリティ対策を理解し、ドメイン オブジェクト内のパターンを特定しようとする可能性があります。 この情報は、ターゲット ネットワーク内で悪用する可能性のあるパスを特定したり、環境に溶け込んだり操作したりする機会を見つけるなど、後続の攻撃を計画するために使用できます。
これらのローカル アクセス許可に依存するユーザー、サービス、またはアプリケーションが機能しなくなる可能性があります。
修復手順
割り当てられた各グループ メンバーシップを慎重に確認し、付与された危険なグループ メンバーシップを特定し、GPO を変更して不要または過剰なユーザー権限を削除します。