اطمینان حاصل کنید که Deny log on as a service شامل Guests باشد. (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این تنظیم امنیتی مشخص میکند کدام سرویس اکانتها میتوانند مانع رجیستر شدن یک process به عنوان یک سرویس شوند. این امتیاز، مجوز “Log on as a service” را لغو میکند اگر یک اکانت شامل هر دو policy باشد.
حالت پیشنهادی برای این setting باید شامل: Guests باشد.
نکته: این تنظیم امنیتی برای اکانتهای System، Local Service یا Network Service اعمال نمیشود.
Rationale
اکانتهایی که میتوانند به عنوان یک سرویس وارد سیستم شوند میتوانند برای پیکربندی و شروع سرویسهای جدید غیرمجاز جدید مانند یک keylogger یا سایر نرم افزارهای مخرب استفاده شوند.
امن سازی ویندوز سرور 2012R2 – بخش بیست و هفتم
نکته مثبت این مطلب این است که فقط کاربرانی که دسترسی administrative دارند میتوانند سرویسها را نصب و پیکربندی کنند و یک مهاجم که قبلاً به آن سطح دسترسی رسیده است میتواند سرویس را پیکربندی کند تا System account اجرا شود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را طوری پیکربندی کنید که شامل Guests باشد:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service
Impact
اگر شما امتیاز Deny log on as a service را به اکانتهای خاصی اختصاص دهید، ممکن است سرویسها قادر به شروع کار نباشند و احتمال دارد یک وضعیت DoS ایجاد شود.
Default Value
No one.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.