GPO 执行的合理性

high

描述

CSEs 是在 GPO 应用过程中通常会在域计算机上以非常高的特权执行的组件。因此,必须确保GPO 中包含的每个 Client-Side Extension (CSE) 都是合理的,并经过受信任方认证​。

同样重要的是,在应用任何内容之前,确保域计算机检索的所有 GPO 文件都来自安全的位置​。

解决方案

应删除被认为存在风险的未知 CSEs,或者在接受风险的情况下将其列入白名单。 GpcFileSysPath 属性应指向安全的位置,如 SYSVOL share。

参见

Microsoft Open Specification on Client-Side Extension

Additional explanations about GPOs and their dangers

MS15-011 bulletin regarding "UNC Hardened Access"

Microsoft Open Specification on Group Policy Object

指标详细信息

名称: GPO 执行的合理性

代码名称: C-GPO-EXEC-SANITY

严重程度: High