امن سازی ویندوز سرور 2012 – بخش شصت و چهارم

cis-server2012R2

اطمینان از تنظیم Domain member: Digitally encrypt secure channel data (when possible) روی Enabled (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting تعیین می‌کند که آیا یک عضو دامین باید برای مذاکره، رمزگذاری برای همه ترافیک secure channel که آغاز می‌کند، تلاش کند یا خیر.

حالت پیشنهادی برای این setting: Enabled است.

Rationale

هنگامی که یک کامپیوتر به یک دامین join می‌شود، یک Computer Account ایجاد می‌شود. پس از پیوستن به دامین، رایانه از رمز عبور آن حساب استفاده می‌کند تا هر بار که restart شود، یک secure channel با Domain Controller برای دامین خود ایجاد کند. درخواست‌هایی که در secure channel ارسال شده‌اند احراز هویت شده – و اطلاعات حساس مانند رمزهای عبور، رمزگذاری می‌شوند – اما این کانال با یکپارچگی (integrity) بررسی نشده است و تمام اطلاعات رمزگذاری نمی‌شوند.

رمزگذاری دیجیتالی و امضای secure channel ایده خوبی است که در آن پشتیبانی می‌شود. secure channel هنگام ارسال به Domain Controller از domain credential محافظت می‌کند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی می‌شود:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters:SealSecureChannel

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Digitally encrypt secure channel data (when possible)

Impact

هیچ –این یک رفتار پیش‌فرض است. با این وجود، فقط ویندوز NT 4.0 با سرویس پک a6 (SP6a)و نسخه‌های بعدی سیستم عامل ویندوز از رمزگذاری دیجیتالی و امضای secure channel پشتیبانی می‌کنند. کلاینت‌های ویندوز 98 ادیشن دوم این موضوع را ساپورت نمی‌کنند تا زمانی که Dsclient روی آن‌ها نصب شود.

Default Value

Enabled. (عضو دامین، رمزگذاری همه ترافیک secure channel را درخواست می‌کند.)

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید