اطمینان از تنظیم Domain member: Disable machine account password changes روی Disabled (Scored)
Profile Applicability
Level 1 – Domain Controller
Level 1 – Member Server
Description
این policy setting تعیین میکند که آیا یک عضو دامین میتواند بطور دورهای رمز ورود حساب رایانه خود را تغییر دهد یا خیر. رایانههایی که نمیتوانند به طور خودکار گذرواژههای اکانت خود را تغییر دهند، به صورت بالقوه آسیبپذیر هستند، زیرا یک مهاجم ممکن است بتواند رمز ورود برای اکانت سیستم دامین را تشخیص دهد.
حالت پیشنهادی برای این setting: Disabled است.
Rationale
پیکربندی پیشفرض برای رایانههای مبتنی بر ویندوز سرور 2003 که به یک دامین تعلق دارند اینست که به طور خودکار آنها باید هر 30 روز یکبار کلمه عبور مربوط به حسابهای خود را تغییر دهند. اگر اینpolicy setting را غیرفعال کنید، رایانههایی که ویندوز سرور 2003 را اجرا میکنند همان رمزهای عبور را به عنوان کامپیوتر اکانتهای خود حفظ میکنند. رایانههایی که دیگر قادر به تغییر خودکار گذرواژه اکانت خود نیستند، در معرض خطر مهاجمی هستند که میتوانند رمز ورود اکانت دامین مربوط به کامپیوتر را تعیین کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:DisablePasswordChange
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Disable machine account password changes
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Disabled. (عضو دامنه میتواند رمز ورود حساب رایانه خود را همانطور که توسط Domain Member مشخص شده است تغییر دهد: حداکثر تنظیم سن رمز ورود machine account (قانون 2.3.6.5)، که به طور پیشفرض هر 30 روز است.)
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط آقای نوربخش تهیه شده است.