组策略发现

对手可能会收集组策略设置的信息，以识别权限提升的路径、域内应用的安全措施，并发现可以操纵或用于在环境中混合的域对象模式。组策略允许在 Active Directory (AD) 中集中管理用户和计算机设置。组策略对象 (GPO) 是由存储在可预测网络路径 \<DOMAIN>\SYSVOL\<DOMAIN>\Policies\ 中的文件组成的组策略设置容器。(引用: TechNet Group Policy Basics)(引用: ADSecurity GPO Persistence 2016) 对手可能会使用诸如 gpresult 的命令或各种公开可用的 PowerShell 函数，如 Get-DomainGPO 和 Get-DomainGPOLocalGroup，来收集组策略设置的信息。(引用: Microsoft gpresult)(引用: Github PowerShell Empire) 对手可能会使用此信息来塑造后续行为，包括确定目标网络中的潜在攻击路径以及操纵组策略设置（即域或租户策略修改）的机会，以使其受益。