اطمینان از تنظیم Create global objects روی Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این group policy تعیین میکند که کاربران میتوانند global object هایی را ایجاد کنند که در تمام session ها در دسترس اند. کاربرانی که این امتیاز را ندارند همچنان میتوانند object های خاصی را در session خودشان ایجاد کنند.
کاربرانی که توانایی ایجاد global object ها را دارند میتوانند روی process هایی که تحت session کاربران دیگر اجرا می شود، اثر بگذارند. این قابلیت میتواند منجر به بروز انواع مختلفی از مشکلات از قبیل application failure یاdata corruption شود.
حالت پیشنهادی برای این Policy مقادیر Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE است.
مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و یکم
نکته: یک Member Server که Microsoft SQL Server روی آن نصب شدهاست، نیازمند در نظر گرفتن یک استثنای خاص از این توصیه برای ورودیهای SQL-generated اضافی میباشد تا این امتیاز به آن تخصیص پیدا کند.
Rationale
کاربرانی که توانایی ایجاد global object ها را دارند میتوانند روی Windows services و process هایی که تحت کاربران یا سیستم اکانتهای دیگر اجرا میشود، اثر بگذارند. این قابلیت میتواند منجر به بروز انواع مختلفی از مشکلات از قبیل application failure،data corruption یا بالا بردن دسترسی شود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create global objects
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.