説明

CSE は、GPO 適用中にドメインマシン上で非常に高い特権を使用して実行されることが多いコンポーネントです。そのため、GPO に含まれているすべてのクライアント側拡張機能 (CSE) が健全で、信頼できるパーティから認定されている​ことを確認することが不可欠です。

また、何かを適用する前に、ドメインコンピューターが取得したすべてのGPOファイルが安全な場所​にあったことを確認することも不可欠です。

ソリューション

危険と見なされる不明な CSE は、削除するか、リスクを受け入れる場合はホワイトリストに追加する必要があります。 GpcFileSysPath 属性は、SYSVOL 共有などの安全な場所を指している必要があります。

参考資料

GPOddity: exploiting Active Directory GPOs through NTLM relaying, and more!

Sending GPOs Down the Wrong Track-Redirecting the GPT

グループポリシーオブジェクトに関するMicrosoftのオープン仕様

クライアント側拡張機能に関するMicrosoftのオープン仕様

GPOとその危険に関する補足説明

"UNC強化されたアクセス"に関するMS15-011セキュリティ情報

Exploiting AD gpLink for Good or Evil

インジケーターの詳細

名前: GPO実行の健全性

コード名: C-GPO-EXEC-SANITY

深刻度: High

MITRE ATT&CK 情報:

戦術: TA0003, TA0008

攻撃者の既知のツール

Synacktiv: GPOddity