امن سازی ویندوز سرور 2012 – بخش شصت و هفتم

cis-server2012R2

اطمینان از تنظیم Domain member: Require strong (Windows 2000 or later) session key روی Enabled (Scored)

Profile Applicability

  • Level 1 – Domain Controller
  • Level 1 – Member Server

Description

وقتی که این policy setting فعال شود، فقط زمانی یک secure channel با دامین کنترلر برقرار می‌شود که آن DC توانایی رمزگذاری دیتا‌های secure channel را با یک session key قدرتمند (128-bit) داشته باشد.

برای فعال کردن این policy setting، کلیه Domain Controller ها در دامین مورد نظر باید بتوانند داده‌های secure channel را با یک کلید قوی رمزگذاری کنند، این بدان معنی است که همه Domain Controller ها باید Microsoft Windows 2000 یا جدیدتر را اجرا کنند.

حالت پیشنهادی برای این setting: Enabled است.

Rationale

Session key هایی که برای برقراری ارتباطات secure channel بین Domain Controllers و رایانه‌های عضو استفاده می‌شوند در ویندوز 2000 بسیار قوی‌تر از سیستم‌عامل‌های قبلی مایکروسافت هستند. هر زمان ممکن باشد، باید از session key های قوی‌تر استفاده کنید تا از ارتباطات secure channel در برابر حملات hijack network sessions و استراق سمع محافظت کنید. (استراق سمع نوعی هک کردن است که در آن داده‌های شبکه در هنگام عبور خوانده می‌شوند یا تغییر می‌یابند. داده‌ها می‌توانند پنهان، اصلاح یا فرستنده آن‌ها تغییر داده شوند یا redirected شوند.)

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی می‌شود:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:RequireStrongKey

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Require strong (Windows 2000 or later) session key

Impact

هیچ –این یک رفتار پیش‌فرض است. با این حال، رایانه‌ها قادر به پیوستن به دامین‌های Windows NT 4.0 نخواهند بود و trust بین دامنه‌های اکتیو دایرکتوری و دامین‌های به سبک ویندوز NT ممکن است به درستی کار نکند. همچنین، Domain Controllers با این تنظیمات پیکربندی شده اجازه نخواهند داد که کلاینت‌های قدیمی‌تر ویندوز 2000 (که از این policy setting پشتیبانی نمی‌کنند) به دامین بپیوندند.

Default Value

Enabled. (secure channel ایجاد نخواهد شد مگر اینکه رمزگذاری 128 بیتی انجام شود.)

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید