اطمینان از تنظیم Domain controller: Allow server operators to schedule tasks روی Disabled (Scored) (DC only)
Profile Applicability
• Level 1 – Domain Controller
Description
این policy setting تعیین میکند که آیا اعضای گروه Server Operators مجاز به submit کردن job ها از طریق AT schedule facility هستند یا خیر. تأثیر این پیکربندی policy setting باید برای اکثر سازمانها اندک باشد. کاربران، از جمله آنهایی که در گروه Server Operators هستند، هنوز هم میتوانند با استفاده از Task Scheduler Wizard ایجاد job کنند، اما این Job ها در چارچوب حساب کاربری انجام میشود که کاربر هنگام تنظیم job، آن را تأیید اعتبار میکند.
توجه: یک AT Service Account میتواند برای انتخاب یک اکانت متفاوت به جای LOCAL SYSTEM Account تغییر داده شود. برای تغییر اکانت، System Tools را باز کنید، روی Scheduled Tasks کلیک کنید و سپس روی فولدر Accessories کلیک کنید. سپس بر روی AT Service Account در منوی Advanced کلیک کنید.
حالت پیشنهادی برای این setting: Disabled است.
Rationale
اگر این policy setting را فعال کنید، job هایی که توسط Server Operators با استفاده از سرویس AT ایجاد میشوند، در چارچوب اکانتی که آن سرویس را اجرا میکند، اجرا میشوند. به طور پیشفرض، اکانت local SYSTEM است. اگر این policy setting را فعال کنید، Server Operators میتوانند کارهایی را انجام دهند که SYSTEM قادر به انجام آنها باشد اما به طور معمول خودشان قادر به انجام آنها نیستند، مانند اضافه کردن اکانت خود به گروه local Administrators.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa:SubmitControl
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: Allow server operators to schedule tasks
Impact
هیچ –این یک رفتار پیشفرض است.
توجه داشته باشید که کاربران (از جمله آنهایی که در گروه Server Operators هستند) با استفاده از Task Scheduler Wizard قادر به ایجاد jobs هستند. اما، این job ها در چارچوب اکانتی که کاربر هنگام تنظیم job تأیید اعتبار میکند، انجام میشود.
Default Value
Disabled. (Server Operators مجاز به submit کردن job به وسیله AT schedule facility نیستند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
