Heredar GPO
Descripción
Un contenedor vinculable de origen, como una unidad organizativa (OU) o un dominio (pero no sitios), contiene la OU de destino, el usuario, el dispositivo, el controlador de dominio o el controlador de dominio de solo lectura (RODC) en el árbol de LDAP. Esto se debe a que los objetos secundarios del contenedor vinculable heredan el GPO donde está vinculado (consulte las relaciones “GPO vinculado”).
Tenable Identity Exposure tiene en cuenta siempre que una OU bloquea la herencia.
Explotación
Los atacantes no tienen nada que hacer para explotar esta relación siempre que logren poner en peligro el GPO en un punto anterior de la ruta de ataque. Por diseño, la relación se aplica a los contenedores vinculables y a los objetos debajo de ellos, como lo muestran las relaciones “Heredar GPO”.
Corrección
En la mayoría de los casos, es normal y legítimo que los GPO se apliquen a los contenedores secundarios vinculables desde sus contenedores principales. Sin embargo, esta vinculación expone rutas de ataque adicionales.
Por lo tanto, para reducir los riesgos, debe vincular los GPO al nivel más bajo en la jerarquía de unidades organizativas, siempre que sea posible.
Además, los GPO requieren protección frente a modificaciones no autorizadas por parte de atacantes con el fin de no exponerlos a otras relaciones de ataque.
Por último, las OU pueden deshabilitar la herencia de GPO de niveles superiores a través de la opción “bloquear herencia”. Sin embargo, utilice esta opción solo como último recurso, ya que bloquea todos los GPO, incluidos los GPO de endurecimiento de la seguridad potenciales definidos en el nivel de dominio más alto. Además, dificulta el razonamiento sobre los GPO aplicados.
Consulte también