组策略对象(GPO)的设计目的是为了简化IT操作和跨Active Directory环境提供集中式安全策略。与任何其他强大的系统一样,GPO也会遭到滥用或侵入,以规避安全控制并获得敏感数据的访问权限。一些大中型企业跨大范围分布式环境部署了数百甚至数千个GPO,这不仅会产生巨大的内部威胁,还会暴露大量表面攻击区域(在未提供适当补偿安全控制的情况下)。
本白皮书介绍了在未提供适当安全控制的情况下GPO如何遭到滥用或侵入,并解释了如何实施分层安全基础架构,便于您检测和阻止对GPO的未经授权访问并发出相应警报。