det0055-detection-strategy-for-group-policy-discovery-on-windows

# DET0055 — Detection Strategy for Group Policy Discovery on Windows ## Descrição Esta estratégia detecta tentativas de adversários de enumerar políticas de grupo (GPOs) em ambientes Active Directory para mapear controles de segurança, identificar configurações exploráveis, e planejar movimentação lateral ou escalonamento de privilégios. O conhecimento das GPOs permite ao atacante entender restrições de software, configurações de firewall, políticas de senha e privilégios delegados — informações críticas para operações de pós-comprometimento. Alinhada a [[t1615-group-policy-discovery|T1615-group-policy-discovery]], a técnica é executada via ferramentas nativas como `gpresult.exe`, `gpquery`, `Get-GPO` (PowerShell RSAT), acesso a SYSVOL via SMB (`\\domain\SYSVOL\`), e consultas LDAP ao atributo `gPCFileSysPath`. Adversários em domínio também leem arquivos de GPO diretamente do compartilhamento SYSVOL para identificar scripts de logon, configurações de software restrito, e permissões de grupos privilegiados. A detecção deve monitorar execuções de `gpresult.exe` por usuários não-administradores, acessos SMB a `\\*\SYSVOL\` por contas fora do processo de autenticação de domínio padrão, e comandos PowerShell com módulos RSAT executados em estações de trabalho (não servidores). O contexto de quando ocorre — logo após comprometimento inicial — aumenta a confiança do alerta. ## Indicadores de Detecção - Execução de `gpresult.exe /z` ou `/scope computer` por conta de usuário padrão - Acesso SMB a `\\{DC}\SYSVOL\` por processo diferente de `lsass.exe` ou `svchost.exe` - Importação do módulo `GroupPolicy` via PowerShell em estação de trabalho - Consultas LDAP para objetos com classe `groupPolicyContainer` fora do horário comercial - Enumeração de arquivos em `C:\Windows\SYSVOL\` por processo com baixo nível de integridade ## Técnicas Relacionadas - [[t1615-group-policy-discovery|T1615-group-policy-discovery]] — técnica primária detectada - [[t1069-permission-groups-discovery|T1069-permission-groups-discovery]] — enumeração de grupos privilegiados via GPO - [[t1018-remote-system-discovery|T1018-remote-system-discovery]] — descoberta de sistemas via políticas de grupo - [[T1484.001-domain-policy-modification-group-policy-modification]] — modificação de GPO após descoberta - [[T1021.002-remote-services-smb-windows-admin-shares]] — acesso a SYSVOL via SMB ## Analytics Relacionadas - [[an0152-analytic-0152|AN0152 — Analytic 0152]] --- *Fonte: [MITRE ATT&CK — DET0055](https://attack.mitre.org/detectionstrategies/DET0055)*