اطمینان از تنظیم Change the system time روی Administrators, LOCAL SERVICE (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
تنظیمات policy setting مربوط به Change the system time تعیین میکند که کدام کاربران و گروهها میتوانند زمان و تاریخ را در ساعت داخلی کامپیوترهای موجود در سازمان شما تغییر دهند. کاربرانی که این user right به آنها اختصاص داده شده است میتوانند روی شکل و نمای event logs تأثیر بگذارند.
وقتی تنظیم زمان کامپیوتر تغییر میکند، رویدادهای ثبت شده زمان جدید را نشان میدهند، نه زمان درستی که وقایع در آن اتفاق افتاده است.
حالت پیشنهادی برای این Policy مقدار Administrators و LOCAL SERVICE است.
توجه: اختلاف بین زمان موجود در local computer و Domain Controller ها در سازمان شما ممکن است باعث ایجاد مشکل در پروتکل تأیید هویت Kerberos شود، که میتواند ورود کاربران به دامنه را غیرممکن سازد یا مجوز دسترسی به منابع دامین را بعد ورودشان به آنها اختصاص ندهد. همچنین، در صورت عدم هماهنگی زمان سیستم با Domain Controllers، وقتی Group Policy ای میخواهد برای کامپیوترهای کلاینت اعمال شود، باعث بروز مشکلاتی میشود.
امن سازی ویندوز سرور 2012R2 – بخش هفدهم
کاربرانی که میتوانند زمان را در رایانه تغییر دهند میتوانند چندین مشکل ایجاد کنند. به عنوان مثال، time stamp هایی که در ورودیهای event log ایجاد میشوند میتوانند نادرست باشند، time stamp هایی که روی فایلها و فولدرهایی که create یا ویرایش شدهاند میتوانند نادرست باشند، و رایانههایی که به یک دامین تعلق دارند ممکن است نتوانند خود یا کاربرانی که از طریق شان سعی در ورود به سیستم دارند را احراز هویت کنند. همچنین، از آنجا که پروتکل تأیید هویت Kerberos مستلزم آن است که درخواست کننده و تأیید کننده اعتبار، ساعتهای خود را در یک دوره زمانی تعریف شده توسط سرور هماهنگ کنند، یک مهاجم که زمان کامپیوتر را تغییر میدهد، ممکن است باعث شود که آن کامپیوتر نتواند Kerberos ticket ها را بدست آورد یا اعطا کند.
خطر ابتلا به این نوع رویدادها بر روی اکثرDomain Controllers ها، Member Servers ها وend-user computer ها کاهش مییابد زیرا سرویس ویندوز تایم به صورت خودکار زمان را باDomain Controllers از طریق زیر هماهنگ میکند:
• همه کلاینت دسکتاپ کامپیوترها و Member Server ها از احراز هویت Domain Controller به عنوان inbound time partner خود استفاده میکنند.
• همه دامین کنترلرهای موجود در یک دامین، Emulator operations master درPrimary Domain Controller (PDC) را به عنوان inbound time partner خود در نظر میگیرند.
• تمامی PDC Emulator operations master ها از سلسله مراتب دامنهها در انتخاب inbound time partner شان استفاده میکنند.
• PDC Emulator operations master موجود در ریشه دامین برای سازمان معتبر است. بنابراین توصیه میشود این کامپیوتر را برای همگام سازی با یک تایم سرور قابل اعتماد خارجی پیکر بندی کنید.
این آسیبپذیری بسیار جدی تر میشود اگر یک مهاجم بتواند زمان سیستم را تغییر دهد و سپس سرویس Windows Time را متوقف کند یا مجدداً پیکربندی کند تا با یک تایم سرور ای همگام سازی شود که دقیق نیست.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators،LOCAL SERVICE قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Change the system time
Impact
تاثیری نباید وجود داشته باشد، زیرا عملیات هماهنگ سازی زمان برای اکثر سازمانها برای تمام کامپیوترهایی که متعلق به دامین هستند باید کاملاً خودکار شود. کامپیوترهایی که متعلق به دامین نیستند باید برای همگام سازی با یک منبع خارجی پیکر بندی شوند.
Default Value
در Member Sever ها: Administrators، LOCAL SERVICE.
در Domain Controller ها: Server Operators، Administrators، LOCAL SERVICE.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
