语言:
CSE 是在 GPO 应用过程中通常会在域计算机上以非常高的特权执行的组件。因此,必须确保 GPO 中包含的每个客户端扩展插件 (CSE) 都是合理的,并经过受信任方认证。
同样重要的是,在应用任何内容之前,确保域计算机检索的所有 GPO 文件都来自安全的位置。
应删除被认为存在风险的未知 CSE,或者在接受风险的情况下将其列入白名单。 GpcFileSysPath 属性应指向安全位置,如 SYSVOL 共享。
GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!