اطمینان از تنظیم Enable computer and user accounts to be trusted for delegation (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به شما این امکان را میدهد تا تنظیمات Trusted for Delegation را در یک computer object در Active Directory را تغییر دهید. سوءاستفاده از این دسترسی میتواند به کاربران غیر مجاز اجازه جعل هویت سایر کاربران را در شبکه دهد.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم باید شامل: Administrators باشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم باید شامل: No one باشد.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب میشود.
Rationale
سوءاستفاده از مجوز “Enable computer and user accounts to be trusted for delegation” میتواند به کاربران غیرمجاز اجازه جعل هویت سایر کاربران در شبکه را بدهد.
مستند امن سازی ویندوز سرور 2012R2 – بخش سی ام
یک مهاجم میتواند این مجوز را برای دستیابی به منابع شبکهexploit کند و تعیین آنچه که پس از یک حادثه امنیتی رخ میدهد را دشوار کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Enable computer and user accounts to be trusted for delegation
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
در Member Server ها: No one
در Domain Controller ها: Administrators
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.