설명

CSE는 일반적으로 GPO를 적용할 때 도메인 컴퓨터에서 매우 높은 권한으로 실행되는 구성 요소입니다. 그러므로 GPO에 포함된 모든 클라이언트 측 확장(CSE)이 적절하고, 신뢰할 수 있는 주체에게 인증을 받는 것이 매우 중요합니다​.

또한 적용하기 전에 도메인 컴퓨터에서 검색한 모든 GPO 파일의 출처가 안전한지 확인​해야 합니다.

솔루션

위험한 것으로 간주되는 알 수 없는 CSE는 제거하거나, 위험을 감수하는 경우 허용 목록에 추가해야 합니다. GpcFileSysPath 특성은 SYSVOL 공유와 같은 안전한 위치를 가리켜야 합니다.

참고 항목

그룹 정책 개체의 Microsoft Open Specification

클라이언트 측 확장의 Microsoft Open Specification

GPO 및 그 위험성에 관한 추가적인 설명

"UNC 강화 액세스" 관련 MS15-011 공지

GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!

Sending GPOs Down the Wrong Track-Redirecting the GPT

Exploiting AD gpLink for Good or Evil

지표 세부 정보

이름: GPO 실행 적절성

코드명: C-GPO-EXEC-SANITY

심각도: High

MITRE ATT&CK 정보:

공격자가 알려진 도구

Synacktiv: GPOddity