GPO 상속
설명
조직 구성 단위(OU) 또는 도메인(사이트 제외)과 같이 소스를 연결할 수 있는 컨테이너는 LDAP에 대상 OU, 사용자, 장치, DC 또는 읽기 전용 도메인 컨트롤러(RODC)를 포함합니다. 이것은 연결할 수 있는 컨테이너의 하위 개체가 자신이 연결된 GPO를 상속하기 때문입니다("연결된 GPO" 관계 참조).
Tenable Identity Exposure에서는 OU가 상속을 차단할 때마다 이를 감안합니다.
악용
공격 경로의 업스트림에 있는 GPO를 침해하는 데 성공하기만 하면 공격자가 이 관계를 악용할 일이 전혀 없습니다. 이 관계는 연결할 수 있는 컨테이너와 그 아래의 개체에 적용하도록 설계되었습니다(GPO 상속 관계 참조).
수정
대부분의 경우, GPO가 상위 컨테이너에서 연결할 수 있는 하위 컨테이너에 적용되는 것은 일반적이고 적법합니다. 그러나 이 연결로 인해 더 많은 공격 경로가 노출됩니다.
따라서 위험을 완화하려면 GPO를 (가능하면 항상) 조직 구성 단위 계층 구조에서 가장 낮은 수준에 연결하는 것이 좋습니다.
또한 GPO를 다른 공격 관계에 노출하지 않으려면 공격자가 무단으로 수정할 수 없도록 보호해야 합니다.
마지막으로, OU가 "상속 차단" 옵션을 통해 더 높은 수준에서 GPO 상속을 사용 중지할 수도 있습니다. 그러나 이 옵션은 최후의 수단으로만 사용해야 합니다. 이 옵션은 도메인 최고 수준에서 정의한, 보안을 강화할 수 있는 GPO까지 포함해 모든 GPO를 차단하기 때문입니다. 또한 이 때문에 적용된 GPO에 관한 추론도 더 어려워집니다.
참고 항목