اطمینان از تنظیم Load and unload device drivers روی Administrators (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به کاربران امکان میدهد تا به صورت داینامیک یک دیوایس درایور جدید را روی یک سیستم load کنند. یک مهاجم به طور پنهانی میتواند از این توانایی برای نصب کدهای مخرب که به نظر میرسد درایور دستگاه است استفاده کند. این مجوز برای افزودن پرینترهایlocal یا درایورهای پرینترها در ویندوز ویستا لازم است.
حالت پیشنهادی برای این setting: Administrators است.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب می شود.
Rationale
Device driver ها به عنوان کد بسیار سطح بالا اجرا میشوند. کاربری که مجوز”Load and unload device drivers دارد میتواند به صورت ناخواسته کدی مخرب را که به عنوان درایور دستگاه، مورد استفاده قرار میگیرد نصب کند. ادمینها باید مراقبت بیشتری را انجام دهند و فقط درایورهایی با امضاهای دیجیتالی تأیید شده را نصب کنند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Load and unload device drivers
Impact
اگر مجوز Load and unload device drivers را از گروه Print Operators یا حسابهای دیگر حذف کنید، میتوانید دسترسی کاربرانی که به آنها نقشهایadministrative در سازمان اختصاص داده شده را محدود کنید. شما باید بررسی و تایید کنید که دسترسیهای داده شده تاثیر منفی نداشته باشد.
Default Value
در Member Sever ها: Administrators.
در Domain Controller ها:Administrators، Print Operators.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.