Was Sind GPO-Fehlkonfigurationen?
Group Policy Objects (GPOs) sind der primäre Konfigurationsmanagement-Mechanismus in Active Directory. Sie steuern Sicherheitseinstellungen, Software-Deployment, Skriptausführung und Benutzerumgebungen auf jeder Maschine in der Domäne.
GPO-Fehlkonfigurationen sind besonders gefährlich, weil sie zwei Bedrohungen kombinieren: laterale Bewegung im großen Maßstab und Privilege Escalation (schwache GPO-Berechtigungen erlauben wenig privilegierten Benutzern, Richtlinien auf Domain Controllern zu ändern).
Wie Es Funktioniert
GPOs werden als Objekte in AD und als Dateien im SYSVOL-Share gespeichert:
- GPC (Group Policy Container) — das AD-Objekt, kontrolliert durch AD-ACLs
- GPT (Group Policy Template) — Dateien in
\\domäne\SYSVOL\, kontrolliert durch NTFS-ACLs
Ein Angreifer mit Schreibzugriff auf eine GPO, die auf Domain Controller angewendet wird, kann bösartigen Code als SYSTEM auf jedem Ziel ausführen.
Die Angriffskette
Schritt 1 - GPO-Berechtigungen Aufzählen
Get-GPO -All | ForEach-Object {
$gpo = $_
$acl = Get-GPPermission -Guid $gpo.Id -All
$acl | Where-Object {
$_.Permission -match "GpoEditDeleteModifySecurity|GpoEdit" -and
$_.Trustee.Name -notmatch "Domain Admins|Enterprise Admins|SYSTEM"
} | Select-Object @{N="GPO";E={$gpo.DisplayName}}, @{N="Treuhänder";E={$_.Trustee.Name}}, Permission
}
Schritt 2 - LAPS-Fehlen Ausnutzen
Ohne LAPS teilen alle Workstations dasselbe lokale Administrator-Passwort:
Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd |
Where-Object {$_."ms-Mcs-AdmPwd" -eq $null} |
Select-Object Name
Erkennung
Windows Event IDs
| Event ID | Quelle | Worauf zu achten |
|---|---|---|
| 5136 | DC - Security | AD-Objekt geändert — GPO von unerwartetem Konto geändert |
| 4670 | DC - Security | Objektberechtigungen geändert |
SIEM-Erkennungsabfrage (Elastic KQL)
event.code: "5136" AND
winlog.event_data.ObjectClass: "groupPolicyContainer" AND
NOT winlog.event_data.SubjectUserName: ("*admin*" OR "SYSTEM")
Behebung
💡 Schnelle Massnahme: Setzen Sie LAPS sofort ein — keine Infrastrukturänderung erforderlich.
1. Gefährliche GPO-Berechtigungen Korrigieren
Set-GPPermission -Name "Default Domain Controllers Policy" `
-TargetName "Domain Users" -TargetType Group -PermissionLevel None
2. LAPS Einsetzen
Install-Module -Name LAPS -Force
Update-LapsADSchema
3. Schwache Passwortrichtlinien in GPOs Prüfen
Get-GPO -All | ForEach-Object {
$report = Get-GPOReport -Guid $_.Id -ReportType XML
if ($report -match "MinimumPasswordLength") {
Write-Host "$($_.DisplayName): Enthält Passwortrichtlinien-Einstellungen"
}
}
So Erkennt EtcSec Dies
GPO_DANGEROUS_PERMISSIONS identifiziert GPOs mit Bearbeitungsrechten für nicht-privilegierte Konten.
GPO_WEAK_PASSWORD_POLICY kennzeichnet GPOs mit zu schwachen Passwortrichtlinien.
GPO_LAPS_NOT_DEPLOYED erkennt Umgebungen ohne LAPS-Konfiguration.
ℹ️ Hinweis: EtcSec prüft alle GPOs automatisch bei jedem AD-Scan. Starten Sie ein kostenloses Audit.
