Bei der Domänenmodifikation können Angreifer die Domäneneinstellungen ändern, um die Privilegien in Domänenumgebungen zu erweitern. Domänen bieten die Möglichkeit zur zentralen Verwaltung der Interaktion zwischen verschiedenen Ressourcen wie Computern und Benutzern. Die Richtlinien, die die Domäne betreffen, umfassen auch Konfigurationseinstellungen zwischen verschiedenen Domänen in einer Forest-Umgebung. Die Änderung von Domänenrichtlinien umfasst beides:
Es besteht ein hohes Risiko, dass sich Angreifer Zugang zur Änderung von Domänenrichtlinien verschaffen, da Domänenkonfigurationen eine große Anzahl von Interaktionen in AD steuern. Einige Beispiele für die Arten des Missbrauchs, die stattfinden können, sind:
Ein wichtiger Hinweis in diesem Zusammenhang ist, dass ein Angreifer die Domänenrichtlinien ändern kann, um einen Angriff zu starten, und dann die Einstellungen wiederherstellt, um die Erkennung verdächtiger Aktivitäten zu verhindern.
Ereignisprotokolle können zur Identifizierung von Domänenänderungen verwendet werden. Im Falle von Gruppenrichtlinienänderungen werden verschiedene Windows-Ereignis-IDs für das Ändern, Erstellen, Verschieben, Löschen und Wiederherstellen gelöschter Objekte protokolliert. Es wird empfohlen, alle Änderungen an den Vertrauenseinstellungen der Domäne (z. B. wenn ein Benutzer oder eine Anwendung die Verbundeinstellungen ändert) über Aktionen zu überwachen, die mit einer Richtlinie verbunden sind. Darüber hinaus können Sie Befehle überwachen, die speziell zur Änderung von Domänenrichtlinieneinstellungen verwendet werden.
Die Änderung von Domänenrichtlinien kann im Falle von Vorfällen durch bestimmte Methoden verhindert und entschärft werden. Zum Beispiel: