اطمینان از تنظیم Add workstations to domain روی Administrators (Scored) (DC only)
Profile Applicability
Level 1 – Domain Controller
Description
این policy مشخص میکند که کاربران میتوانند Computer Workstation ها را به دامنه اضافه کنند. برای اینکه این Policy Setting اجرایی شود، باید در دامین به عنوان بخشی از Default Domain Controller Policy به کاربر اصطلاحاً Assign شود.
کاربری که این حق به او واگذار شده است میتواند حداکثر 10 Computer Workstation را به دامین اضافه کند. کاربرانی که به آنها اجازه Create Computer Objects برای یک OU یا کانتینر Computers در Active Directory اختصاص داده شده است، میتوانند تعداد نامحدودی از کامپیوترها را به دامین اضافه کنند، صرف نظر از این که آیا به آن کاربر اجازه Add کردن Workstations به دامین (Add Workstations to Domain) Assign شده باشد یا نشده باشد.
امن سازی ویندوز سرور 2012R2 – بخش دوازدهم
در شبکههای مبتنی بر ویندوز، اصطلاح Security Principal به این صورت معنی پیدا میکند که کاربر، گروه یا کامپیوتر به صورت خودکار به یک Security Identifier، Assign شده تا میزان دسترسی آنها به منابع کنترل شود.
در یک شبکه مبتنی بر Active Directory، هر Computer Account یک Security Principal با قابلیت تأیید اعتبار و دسترسی به منابع دامین است. با این حال، برخی از سازمانها ممکن است بخواهند تعداد کامپیوترها را در یک محیط Active Directory محدود کنند تا بتوانند همواره، کامپیوترها را ردیابی، ایجاد و مدیریت کنند.
اگر کاربران مجاز به اضافه کردن رایانه به دامنه باشند، مانع تلاش برای ردیابی و مدیریت خواهد شد. همچنین، کاربران به دلیل توانایی ایجادDomain Computer های غیرمجاز اضافی، میتوانند فعالیتهایی را انجام دهند که ردیابی آنها دشوارتر است.
حالت پیشنهادی برای این بخش Administrators است.
Rationale
اختصاص قابلیت Add Workstations to Domain به کاربر، یک آسیب پذیری با درجه خطر متوسط را ایجاد میکند. کاربرانی که این توانایی را دارند میتوانند کامپیوتری را به دامین اضافه کنند که به شکلی تنظیم شده باشد که Security Policy های سازمان را نقض کند.
به عنوان مثال، اگر سازمان شما نمیخواهد که کاربرانش دسترسی Administrative بر روی رایانههای خود داشته باشند، کاربر میتواند ویندوز را بر روی رایانه شخصی خود دوباره نصب کند و سپس کامپیوتر را به دامین اضافه کند. در این حالت کاربر رمزعبور حساب کاربریLocal Administrator را میداند و میتواند با آن وارد سیستم شود و سپس حساب کاربری تحت دامین خود را به گروه Local Administrators اضافه کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP ، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Add workstations to domain
Impact
برای سازمانهایی که هرگز به کاربران اجازه ندادهاند کامپیوترهای خود را تنظیم کرده و آنها را به دامین اضافه کنند، این اقدامات هیچ تاثیری نخواهد داشت.
برای کسانی که به برخی یا همه کاربران اجازه دادهاند رایانههای شخصی خود را پیکربندی کنند، این اقدامات سازمان را مجبور میکند تا یک روند رسمی را برای این مراحل در پیش بگیرند. این تاثیری روی رایانههایی که قبلا در دامین موجود نبودهاند نخواهد داشت مگر اینکه آنها از دامین خارج شده و دوباره به آن Add شوند.
Default Value
Authenticated Users. (تمامی یوزر های دامین این توانایی را دارند که حداکثر 10 Computer Account را یه یک دامین Active Directory اضافه کنند. این Computer Account های جدید در Computers Container ایجاد میشوند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.