امن سازی ویندوز سرور 2012 – بخش بیست و نهم

cis-server2012R2

اطمینان حاصل کنید که Deny log on locally شامل Guests باشد. (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این تنظیم امنیتی مشخص می‌کند کدام یک از کاربران از ورود به کامپیوتر منع می‌شوند. این امتیاز، مجوز”Allow log on locally” را لغو می‌کند اگر یک اکانت شامل هر دو policy باشد.

حالت پیشنهادی برای این setting باید شامل: Guests باشد.

نکته مهم: اگر این تنظیم امنیتی را برای گروه Everyone اعمال کنید، هیچ کس نمی‌تواند به صورت locally وارد سیستم شود.

Rationale

از هر حساب کاربری با دسترسیlog on locally، می‌توان برای ورود به سیستم در کنسول رایانه استفاده کرد. اگر این مجوز محدود به کاربران قانونی نباشد که نیاز به ورود به کنسول رایانه دارند، کاربران غیرمجاز ممکن است نرم افزاری مخرب را که دسترسی آن‌ها را بالا تر می‌برد، بارگیری و اجرا کنند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را طوری پیکربندی کنید که شامل Guests باشد:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally

Impact

اگر مجوز Deny log on locally user را به اکانت‌های اضافی اختصاص دهید، می‌توانید فعالیت کاربرانی که به آن‌ها نقش‌هایadministrative در سازمان داده شده را محدود کنید.

هرچند شما باید این مجوز را به اکانت ASPNET در کامپیوترهایی که IIS 6.0 را اجرا می‌کنند اعطا کنید. شما باید بررسی و تایید کنید که دسترسی‌های داده شده تاثیر منفی نداشته باشد.

Default Value

No one.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید