امن سازی ویندوز سرور 2012 – بخش بیست و پنجم

cis-server2012R2

اطمینان از تنظیم Debug programs روی Administrators (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting تعیین می‌کند که کدام کاربران حق دارند یک debugger را به process ای یا kernel متصل کنند، که دسترسی کاملی را به اجزای حساس و حیاتی سیستم عامل فراهم می‌کند. نیازی نیست این user right به برنامه نویسانی که مشغولdebug کردن برنامه‌هایی که خودشان نوشته اند، اختصاص داده شود. با این حال، توسعه دهندگان که در حال debug کردن اجزای جدید سیستم هستند به آن احتیاج دارند.

حالت پیشنهادی برای این setting: Administrators است.

توجه: این مجوز برای اهداف حساس یک “sensitive privilege ” محسوب می‌شود.

Rationale

امتیاز “Debug programs” می‌تواند برای بدست آوردن اطلاعات حساس کامپیوتر از memory یا دسترسی به ساختار kernel یا اپلیکیشن ها استفاده شود. برخی از ابزارهای حمله این user right را اکسپلویت می‌کنند تا پسوردهای hash شده و دیگر اطلاعات امنیتی خصوصی را استخراج کنند یا کد rootkit را در سیستم قرار دهند.

امن سازی ویندوز سرور 2012R2 – بخش بیست و چهارم

به طور پیش‌فرض، امتیاز “Debug programs” فقط به administrators اختصاص داده می‌شود، که به کاهش خطر این آسیب‌پذیری کمک می‌کند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Debug programs

Impact

اگر این user right را لغو کنید، هیچ کس قادر بهdebug کردن برنامه‌ها نیست. با این حال به ندرت این user right در کامپیوترها نیاز می‌شود. اگر مشکلی بوجود آمده باشد که نیاز به debug کردن یک برنامه در یک production server باشد، می‌توانید سرور را به طور موقت به یک OU دیگر منتقل کنید و امتیاز “Debug programs” را به یک group policy جداگانه برای آن OU اختصاص دهید.

service account ای که برای cluster service استفاده می‌شود نیاز به امتیاز “Debug programs” دارد؛ اگر آن را نداشته باشد، Windows Clustering، fail خواهد شد.

ابزارهایی که برای مدیریت process ها استفاده می‌شوند، نمی‌توانند روی process هایی که شخص دیگری آن process را اجرا کرده و متعلق به مالک این tool ها نیست، اثر بگذارند. برای مثال ابزار Windows Server 2003 Resource Kit با نام kill.exe نیازمند این امتیاز برای administrators است تا بتوانند به process هایی که خودشان آن را start نکرده‌اند، خاتمه دهند.

Default Value

Administrators

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید