• Gruppenrichtlinien sind Teil jedes Active Directory´s. Gruppenrichtlinien sind so konzipiert, dass sie die Konfigurationen eines Systems verändern können. Da sie so grundlegend für die Verwaltung in einer Windows-Domäne sind, können sie auch von Angreifern sehr gut als Angriffsvektor genutzt werden.

     

    Welche Tools können zum Einsatz kommen?

    1. SharpGPOAbuse.exe --AddComputerTask --Taskname "Update" --Author <Domäne\User> -Command "cmd.exe" --Arguments "/c net user Administrator Password! /domain" --GPOName "Name_Der_Gruppenrichtlinie"

     

    Lösung (Mitigation)

    Angreifer nutzen Netzwerktechniken als ersten Schritt, aber dieselbe Technik kann auch zur Schadensbegrenzung eingesetzt werden. Man sollte wissen und neu bewerten, wer Zugang zu  GPOs hat. Mithilfe kostenloser Tools wie BloodHound kann herausgefunden werden, wer Zugriff auf ein Gruppenrichtlinien Objekt hat und wer den Zugriff über Vererbung erhält. Es hilft, potenzielle "seitliche Bewegungspfade" (lateral movement) zu erkennen und neu zu bewerten, ob der aktuelle Zustand einer "Liste der Privilegien" auch den notwendigen Konfigurationen entspricht.

    Wir benutzen Cookies

    Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

    Weitere Informationen Impressum