اطمینان از تنظیم Accounts: Administrator account status روی Disabled (Scored) (MS only)
Profile Applicability
• Level 1 – Member Server
Description
این policy setting کاربر Administrator را در حین کار عادی، فعال یا غیرفعال میکند. هنگامی که رایانه با safe mode بوت میشود، صرف نظر از نحوه پیکربندی این تنظیم، همیشه حساب Administrator فعال میشود. توجه داشته باشید که این تنظیم هیچ تاثیری هنگام اعمال شدن به واحد دامین کنترلر ها از طریق group policy ندارد زیرا دامین کنترلرها هیچ دیتابیس اکانت local ای ندارند. میتوان آن را در سطح دامین از طریق group policy، مانندaccount lockout وpassword policy settings پیکربندی کرد.
حالت پیشنهادی برای این setting: Disabled است.
Rationale
در برخی سازمانها، حفظ برنامهای منظم برای تغییر دورهای رمز عبور برای حسابهایlocal، میتواند یک چالش مدیریتی هولناک باشد. بنابراین، ممکن است بخواهید به جای اتکا به تغییرات منظم رمز عبور، اکانت Administrator built-in را غیرفعال کنید تا از آن در مقابل حمله محافظت کنید. یکی دیگر از دلایل غیرفعال کردن این اکانت built-in این است که بدون توجه به تعداد زیاد ورود ناموفق، اکانت قفل نخواهد شد، که این امر آن را به هدف اصلی حملات brute force تبدیل میکند که سعی در حدس زدن رمزها دارند. همچنین، این اکانت دارای شناسه امنیتی شناخته شده (SID) است و ابزارهای third-party نیز وجود دارند که امکان authentication را با استفاده از SID به جای نام حساب میدهند. این قابلیت بدین معنی است که حتی اگر نام حساب Administrator را تغییر دهید، یک مهاجم میتواند با استفاده از SID برای ورود به سیستم، حمله brute force را انجام دهد.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Administrator account status
Impact
اگر حساب Administrator را غیرفعال کنید، ممکن است تحت شرایط خاصی مشکلات نگهداری ایجاد شود. به عنوان مثال، اگر secure channel بین یک رایانه عضو و Domain Controller به هر دلیلی در یک محیط دامین خراب شود و هیچ اکانتlocal Administrator دیگری در آن نباشد، شما باید در حالت safe mode سیستم را دوباره راه اندازی کنید تا مشکلی که secure channel را خراب کرده است، برطرف کنید.
اگر پسورد فعلی Administrator بر اساس قوانین رمز عبور نباشد، نمیتوانید بعد از غیرفعال کردن حساب Administrator مجدد آن را فعال کنید. در صورت بروز این وضعیت، یک عضو دیگر از گروه Administrators باید رمز عبور را روی حساب Administrator با ابزارLocal Users and Groups تنظیم کند.
Default Value
Disabled.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
