组策略修改

对手可能会修改组策略对象 (GPO) 以颠覆域的预期自由访问控制，通常是为了在域上提升权限。组策略允许在 Active Directory (AD) 中集中管理用户和计算机设置。GPO 是包含组策略设置的容器，由存储在可预测网络路径 \<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ 中的文件组成。(引用: TechNet Group Policy Basics)(引用: ADSecurity GPO Persistence 2016) 与 AD 中的其他对象一样，GPO 具有与之关联的访问控制。默认情况下，域中的所有用户帐户都有读取 GPO 的权限。可以将 GPO 访问控制权限（例如写入访问权限）委派给域中的特定用户或组。 恶意 GPO 修改可用于实现许多其他恶意行为，例如计划任务/作业、禁用或修改工具、入口工具传输、创建账户、服务执行等。(引用: ADSecurity GPO Persistence 2016)(引用: Wald0 Guide to GPOs)(引用: Harmj0y Abusing GPO Permissions)(引用: Mandiant M Trends 2016)(引用: Microsoft Hacking Team Breach) 由于 GPO 可以控制 AD 环境中的许多用户和计算机设置，因此可能会出现大量潜在攻击。(引用: Wald0 Guide to GPOs) 例如，可以利用公开可用的脚本（如 New-GPOImmediateTask）通过修改 GPO 设置自动创建恶意计划任务/作业，在这种情况下，修改 <GPO_PATH>\Machine\Preferences\ScheduledTasks\ScheduledTasks.xml。(引用: Wald0 Guide to GPOs)(引用: Harmj0y Abusing GPO Permissions) 在某些情况下，对手可能会修改特定用户权限，如 SeEnableDelegationPrivilege，设置在 <GPO_PATH>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf 中，以实现对域的完全控制，因为对手控制的用户帐户将能够修改 GPO。(引用: Harmj0y SeEnableDelegationPrivilege Right)