امن سازی ویندوز سرور 2012 – بخش سیزدهم

cis-server2012R2

اطمینان از تنظیم Add workstations to domain روی Administrators (Scored) (DC only)

Profile Applicability

Level 1 – Domain Controller

Description

این policy مشخص می‌کند که کاربران می‌توانند Computer Workstation ها را به دامنه اضافه کنند. برای اینکه این Policy Setting اجرایی شود، باید در دامین به عنوان بخشی از Default Domain Controller Policy به کاربر اصطلاحاً Assign شود.

کاربری که این حق به او واگذار شده است می‌تواند حداکثر 10 Computer Workstation را به دامین اضافه کند. کاربرانی که به آنها اجازه Create Computer Objects برای یک OU یا کانتینر Computers در Active Directory اختصاص داده شده است، می‌توانند تعداد نامحدودی از کامپیوترها را به دامین اضافه کنند، صرف نظر از این که آیا به آن کاربر اجازه Add کردن Workstations به دامین (Add Workstations to Domain) Assign شده باشد یا نشده باشد.

امن سازی ویندوز سرور 2012R2 – بخش دوازدهم

در شبکه‌های مبتنی بر ویندوز، اصطلاح Security Principal به این صورت معنی پیدا می‌کند که کاربر، گروه یا کامپیوتر به صورت خودکار به یک Security Identifier، Assign شده تا میزان دسترسی آن‌ها به منابع کنترل شود.

در یک شبکه مبتنی بر Active Directory، هر Computer Account یک Security Principal با قابلیت تأیید اعتبار و دسترسی به منابع دامین است. با این حال، برخی از سازمان‌ها ممکن است بخواهند تعداد کامپیوترها را در یک محیط Active Directory محدود کنند تا بتوانند همواره، کامپیوترها را ردیابی، ایجاد و مدیریت کنند.

اگر کاربران مجاز به اضافه کردن رایانه به دامنه باشند، مانع تلاش برای ردیابی و مدیریت خواهد شد. همچنین، کاربران به دلیل توانایی ایجادDomain Computer های غیرمجاز اضافی، می‌توانند فعالیت‌هایی را انجام دهند که ردیابی آن‌ها دشوارتر است.

حالت پیشنهادی برای این بخش Administrators است.

Rationale

اختصاص قابلیت Add Workstations to Domain به کاربر، یک آسیب پذیری با درجه خطر متوسط را ایجاد می‌کند. کاربرانی که این توانایی را دارند می‌توانند کامپیوتری را به دامین اضافه کنند که به شکلی تنظیم شده باشد که Security Policy های سازمان را نقض کند.

به عنوان مثال، اگر سازمان شما نمی‌خواهد که کاربرانش دسترسی Administrative بر روی رایانه‌های خود داشته باشند، کاربر می‌تواند ویندوز را بر روی رایانه شخصی خود دوباره نصب کند و سپس کامپیوتر را به دامین اضافه کند. در این حالت کاربر رمزعبور حساب کاربریLocal Administrator را می‌داند و می‌تواند با آن وارد سیستم شود و سپس حساب کاربری تحت دامین خود را به گروه Local Administrators اضافه کند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP ، path UI داده شده را روی Administrators قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Add workstations to domain

Impact

برای سازمان‌هایی که هرگز به کاربران اجازه نداده‌اند کامپیوترهای خود را تنظیم کرده و آن‌ها را به دامین اضافه کنند، این اقدامات هیچ تاثیری نخواهد داشت.

برای کسانی که به برخی یا همه کاربران اجازه داده‌اند رایانه‌های شخصی خود را پیکربندی کنند، این اقدامات سازمان را مجبور می‌کند تا یک روند رسمی را برای این مراحل در پیش بگیرند. این تاثیری روی رایانه‌هایی که قبلا در دامین موجود نبوده‌اند نخواهد داشت مگر اینکه آن‌ها از دامین خارج شده و دوباره به آن Add شوند.

Default Value

Authenticated Users. (تمامی یوزر های دامین این توانایی را دارند که حداکثر 10 Computer Account را یه یک دامین Active Directory اضافه کنند. این Computer Account های جدید در Computers Container ایجاد می‌شوند.)

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید