18/12/2025
🛡️ Các chính sách GPO nâng cao nên triển khai trong Domain
Khi domain đã có các GPO “cơ bản”, bước tiếp theo là hardening nâng cao để chống lại lateral movement, credential theft và tấn công nội bộ 🔐
Dưới đây là những GPO nâng cao rất đáng triển khai nếu bạn muốn AD an toàn hơn một bậc:
1️⃣ LSA Protection & Credential Guard
Bật RunAsPPL cho LSASS
Kích hoạt Credential Guard (nếu hạ tầng hỗ trợ)
→ Giảm nguy cơ dump credential, mimikatz.
2️⃣ Disable NTLM hoàn toàn (Audit → Enforce)
Audit NTLM usage trước
Chặn NTLM khi đã kiểm soát được ứng dụng legacy
→ Ngăn NTLM relay, pass-the-hash.
3️⃣ LDAP Signing & Channel Binding
Bắt buộc LDAP signing
Enforce LDAP channel binding
→ Chặn LDAP relay, tấn công vào DC.
4️⃣ Kerberos hardening
Giảm lifetime ticket
Bật FAST (Kerberos armoring)
→ Giảm khả năng abuse ticket & replay.
5️⃣ User Rights Assignment chặt chẽ
Giới hạn “Log on locally”, “Log on through RDP”
Chỉ định rõ ai được “Access this computer from network”
→ Chặn privilege abuse & lateral movement.
6️⃣ Attack Surface Reduction nâng cao
Block credential stealing from LSASS
Block Office spawning child process
Block process injection
→ Rất hiệu quả với malware hiện đại.
7️⃣ AMSI + PowerShell nâng cao
Ép PowerShell v5+
Disable PowerShell v2
Bật AMSI logging đầy đủ
→ Bắt được nhiều payload obfuscation.
8️⃣ AppLocker / WDAC theo whitelist
Cho phép chạy app theo path, publisher
Chặn binary lạ ngoài Program Files
→ Khóa chặt malware user-land.
9️⃣ RDP hardening qua GPO
Bật NLA
Disable clipboard, drive redirection
Giới hạn số session
→ Giảm rủi ro compromise qua RDP.
🔟 GPO bảo vệ Domain Admin & Tiering model
Cấm Domain Admin đăng nhập máy user
Áp dụng mô hình Tier 0 / Tier 1 / Tier 2
→ Ngăn compromise lan lên DC.
👉 Các GPO nâng cao không bật ồ ạt, cần audit – test – rollout theo giai đoạn. Làm đúng, domain sẽ “khó bị đánh” hơn rất nhiều.
Send a message to learn more
