امن سازی ویندوز سرور 2012 – بخش بیست و هشتم

cis-server2012R2

اطمینان حاصل کنید که Deny log on as a service شامل Guests باشد. (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این تنظیم امنیتی مشخص می‌کند کدام سرویس اکانت‌ها می‌توانند مانع رجیستر شدن یک process به عنوان یک سرویس شوند. این امتیاز، مجوز “Log on as a service” را لغو می‌کند اگر یک اکانت شامل هر دو policy باشد.

حالت پیشنهادی برای این setting باید شامل: Guests باشد.

نکته: این تنظیم امنیتی برای اکانت‌های System، Local Service یا Network Service اعمال نمی‌شود.

Rationale

اکانت‌هایی که می‌توانند به عنوان یک سرویس وارد سیستم شوند می‌توانند برای پیکربندی و شروع سرویس‌های جدید غیرمجاز جدید مانند یک keylogger یا سایر نرم افزارهای مخرب استفاده شوند.

امن سازی ویندوز سرور 2012R2 – بخش بیست و هفتم

نکته مثبت این مطلب این است که فقط کاربرانی که دسترسی administrative دارند می‌توانند سرویس‌ها را نصب و پیکربندی کنند و یک مهاجم که قبلاً به آن سطح دسترسی رسیده است می‌تواند سرویس را پیکربندی کند تا System account اجرا شود.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را طوری پیکربندی کنید که شامل Guests باشد:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service

Impact

اگر شما امتیاز Deny log on as a service را به اکانت‌های خاصی اختصاص دهید، ممکن است سرویس‌ها قادر به شروع کار نباشند و احتمال دارد یک وضعیت DoS ایجاد شود.

Default Value

No one.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید