اطمینان از تنظیم Deny access to this computer from the network (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting، کاربران را از اتصال از طریق شبکه به یک کامپیوتر که به کاربران، پنهانی امکان دسترسی و تغییر data ها را به صورت remote میدهد، منع میکند. در محیطهایی با امنیت بالا، نباید نیازی به این باشد که remote user ها دسترسی به اطلاعات داخل یک کامپیوتر داشته باشند. در عوض، اشتراک فایل باید با استفاده از سرورهای شبکه انجام شود. این user right، امتیاز “Access this computer from the network” را لغو میکند اگر یک حساب کاربری هر دوی این user right ها را داشته باشد.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم باید شامل: Guest باشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم باید شامل: Guest، Local Account و یک عضو از گروه Administrators باشد.
احتیاط: پیکربندی یک سرورstandalone (به هیچ دامین ای join نشده باشد) همانطور که در بالا توضیح داده شد، ممکن است منجر به عدم توانایی در مدیریت از راه دور سرور شود.
نکته: شناسه امنیتی local account و عضو گروه Administrators در سرور 2008 R2 و سرور 2012 (غیر R2) وجود ندارد مگر اینکه MSKB 2871997 نصب شده باشد.
نکته 2: پیکربندی یک Member Server یا سرور standalone همانطور که در بالا توضیح داده شد، ممکن است روی برنامههایی که یک local service account ایجاد میکنند و آن را در گروه Administrators قرار میدهند تأثیر منفی بگذارد – در این حالت شما باید برنامه را convert کنید تا از یک domain-hosted service استفاده کند، یا اکانت local را حذف کنید و از عضو گروه administrators این امتیاز و دسترسی را بگیرید.
مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و پنجم
استفاده از یک اکانت domain-hosted service نسبت به موارد دیگر بیشتر ترجیح داده میشود.
Rationale
کاربرانی که میتوانند از طریق شبکه به رایانه وارد شوند میتوانند به لیستهایی از اسامی اکانت ها، نام گروهها و منابع share شده دسترسی داشته باشند. کاربران مجاز به دسترسی به فولدرها و فایلهای share شده میتوانند از طریق شبکه متصل شده و احتمالاً data ها را مشاهده یا تغییر دهند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny access to this computer from the network
Impact
اگر امتیاز Deny access to this computer from the network را برای سایر گروهها تنظیم نمایید، میتوانید دسترسی کاربرانی که به آنها نقشهایadministrative در سازمان اختصاص داده شده را محدود کنید. شما باید بررسی و تایید کنید که دسترسیهای داده شده تاثیر منفی نداشته باشند.
Default Value
Guest.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
