اطمینان از تنظیم Back up files and directories روی Administrators (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به کاربران امکان میدهد permission های فایل و دایرکتوری را برای تهیه نسخه پشتیبان از سیستم دور بزنند. این user right فقط هنگامی فعال میشود که یک برنامه (مانند NTBACKUP ) سعی کند به یک فایل یا دایرکتوری از طریق NTFS file system backup رابط برنامه نویسی اپلیکیشن (API) دسترسی پیدا کند. در غیر این صورت، permission های فایل و دایرکتوری ای که قبلا assign شدهاند اعمال میشوند.
حالت پیشنهادی برای این مقدار این Policy گروه Administrators است.
توجه: این user right برای اهداف Auditing یک “sensitive privilege ” محسوب میشود.
امن سازی ویندوز سرور 2012R2 – بخش شانزدهم
کاربرانی که قادر به تهیه نسخه پشتیبان از دادههای یک کامپیوتر هستند میتوانند فایل بک آپ را به یک کامپیوتری که عضو دامین نباشد و در آن دارای دسترسی administrative هستند برسانند و دادهها را بازیابی کنند. آنها میتوانند مالکیت پروندهها را به دست آورند و دادههای رمزگذاری نشده موجود در مجموعه بک آپ را مشاهده کنند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Back up files and directories
Impact
تغییر در membership گروه هایی که یوزر رایت Back up files and directories را دارند میتواند توانایی کاربرانی را که به نقشهای خاص administrative در سازمان شما نیاز دارند را محدود کند. شما باید تایید کنید که backup administrator ها همچنان قادر به انجام عملیات بک آپ گیری باشند.
Default Value
در Member Sever ها: Administrators، Backup Operators
در Domain Controller ها: Server Operators، Administrators، Backup Operators
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.