اطمینان از تنظیم Domain member: Maximum machine account password age روی 30 or fewer days, but not 0 (Scored)
Profile Applicability
- Level 1 – Domain Controller
- Level 1 – Member Server
Description
این policy setting حداکثر سن مجاز برای رمز ورود اکانت رایانه را تعیین میکند. به صورت پیشفرض، اعضای دامین به طور خودکار هر 30 روز کلمه عبور دامین خود را تغییر میدهند.
حالت پیشنهادی برای این setting: 30 روز یا کمتر، ولی 0 نباشد است. (30 or fewer days, but not 0)
توجه: مقدار 0 با معیار مطابقت ندارد زیرا حداکثر سن رمز عبور را غیرفعال میکند.
Rationale
در دامینهای مبتنی بر Active Directory، هر رایانه دقیقاً مانند هر کاربر دارای یک حساب کاربری و رمز عبور است. به طور پیشفرض، اعضای دامین به طور خودکار هر 30 روز رمز عبور دامنه خود را تغییر میدهند. اگر این بازه را بطور قابل توجهی افزایش دهید یا آن را 0 تنظیم کنید تا رایانهها دیگر رمزهای عبور خود را تغییر ندهند، یک مهاجم زمان بیشتری برای انجام حمله brute force برای حدس زدن رمزهای حسابهای رایانه خواهد داشت.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی 30 or fewer days, but not 0 قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Rename guest account
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
30 روز.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.
