تغییر سیاست دامنه
Domain or Tenant Policy Modificationتوضیحات
مهاجمان تنظیمات سیاست دامنه یا tenant ابری را تغییر میدهند تا سطح دسترسی را ارتقاء دهند یا از دفاعها فرار کنند. با داشتن مجوزهای کافی، مهاجمان میتوانند Group Policy Objectها را تغییر دهند، trustهای دامنه را اضافه کنند یا تنظیمات federation را دستکاری کنند.
زیرتکنیکها (2)
مهاجمان Group Policy Objectها (GPO) را تغییر میدهند تا وظایف زمانبندی شده مخرب، اسکریپتها یا تنظیمات را در سراسر دامنه توزیع کنند. با دسترسی به GPO، مهاجمان میتوانند کد مخرب را روی تمام سیستمهای عضو دامنه اجرا کنند.
مهاجمان trustهای دامنه جدید اضافه میکنند یا trustهای موجود را تغییر میدهند تا سطح دسترسی را ارتقاء دهند. این شامل دستکاری تنظیمات federation، جعل SAML token با اضافه کردن certificateهای مهاجم یا تبدیل دامنهها به federated domain میشود.
روشهای شناسایی
نظارت بر تغییرات GPO. بررسی تغییرات trust دامنه. شناسایی تغییرات در تنظیمات federation. تحلیل لاگهای Domain Controller.
روشهای مقابله
محدود کردن دسترسی به تغییر GPO. نظارت بر تغییرات سیاست دامنه. پیادهسازی Privileged Access Management. بررسی منظم trustهای دامنه. استفاده از MFA.