اطمینان از تنظیم Domain controller: Refuse machine account password changes روی Disabled (Scored) (DC only)
Profile Applicability
• Level 1 – Domain Controller
Description
این تنظیم امنیتی تعیین میکند که آیا Domain Controller درخواستmember computer ها را برای تغییر پسورد اکانت کامپیوترها رد خواهد کرد یا خیر.
حالت پیشنهادی برای این setting: Disabled است.
Rationale
اگر این policy setting را در تمام Domain Controller ها در یک دامین فعال کنید، اعضای دامین قادر به تغییر رمزهای ورود به حساب رایانه خود نخواهند بود و آن رمزهای عبور حساسیت بیشتری به حمله خواهند داشت.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:RefusePasswordChange
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: Refuse machine account password changes
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Disabled. (به طور پیشفرض،member computer ها رمزعبورهای اکانت کامپیوتر خود را مطابق با Domain member مشخص میکنند: حداکثر تنظیم سن پسورد اکانت ماشین (قانون 2.3.6.5)، که به طور پیش فرض هر 30 روز یکبار تغییر میکند.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.