اطمینان از تنظیم Create a token object روی No One (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به یک process اجازه ایجاد یک access token را میدهد، که ممکن است حقوق بالاتری برای دسترسی به اطلاعات حساس ایجاد کند.
حالت پیشنهادی برای این تنظیم: no one میباشد.
توجه: این مجوز برای اهداف حساس یک “sensitive privilege ” محسوب میشود.
Rationale
یک حساب کاربری که این user right به آن داده میشود کنترل کاملی روی سیستم دارد و میتواند باعث به خطر افتادن سیستم شود. بسیار توصیه میشود که این توانایی را به هیج حساب کاربری ای اختصاص ندهید.
سیستم عامل برای تعیین سطح دسترسی کاربر، access token مربوط به آن کاربر را بررسی میکند. Access token ها هنگامی ساخته میشوند که کاربران در یک کامپیوتر local لاگین یا از طریق یک شبکه به یک remote computer از راه دور متصل شوند.
مستند امن سازی ویندوز سرور 2012R2 – بخش بیستم
هنگامی که شما یک سطح دسترسی را پایین میآورید، فوراً ثبت میشود، اما این تغییر در Access token کاربر تا دفعه بعدی که کاربر لاگین کند یا دوباره connect شود، منعکس نمیشود.
کاربرانی که توانایی ایجاد یا تغییر token ها را دارند میتوانند سطح دسترسی را برای هر حساب کاربری که در حال حاضر لاگین است تغییر دهند. آنها میتوانند دسترسی خود را بالاتر ببرند یا یک حمله DoS ایجاد کنند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی No One قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Create a token object
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
No one
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.