تغییر Group Policy
Group Policy Modificationتوضیحات
مهاجمان Group Policy Objectها (GPO) را تغییر میدهند تا وظایف زمانبندی شده مخرب، اسکریپتها یا تنظیمات را در سراسر دامنه توزیع کنند. با دسترسی به GPO، مهاجمان میتوانند کد مخرب را روی تمام سیستمهای عضو دامنه اجرا کنند.
روشهای شناسایی
نظارت بر تغییرات GPO. بررسی GPOهای جدید یا تغییر یافته. شناسایی تغییرات مشکوک در SYSVOL. تحلیل لاگهای Domain Controller.
روشهای مقابله
محدود کردن دسترسی به تغییر GPO. نظارت بر تغییرات GPO. پیادهسازی Privileged Access Management. بررسی منظم GPOها. استفاده از MFA.
تکنیک اصلی
تغییر سیاست دامنه
مهاجمان تنظیمات سیاست دامنه یا tenant ابری را تغییر میدهند تا سطح دسترسی را ارتقاء دهند یا از دفاعها فرار کنند. با داشتن مجوزهای کافی، مهاجمان میتوانند Group Policy Objectها را تغییر دهند، trustهای دامنه را اضافه کنند یا تنظیمات federation را دستکاری کنند.
سایر زیرتکنیکها (1)