امن سازی ویندوز سرور 2012 – بخش پنجاهم

اطمینان از تنظیم Accounts: Administrator account status روی Disabled (Scored) (MS only)

Profile Applicability

• Level 1 – Member Server

Description

این policy setting کاربر Administrator را در حین کار عادی، فعال یا غیرفعال می‌کند. هنگامی که رایانه با safe mode بوت می‌شود، صرف نظر از نحوه پیکربندی این تنظیم، همیشه حساب Administrator فعال می‌شود. توجه داشته باشید که این تنظیم هیچ تاثیری هنگام اعمال شدن به واحد دامین کنترلر ها از طریق group policy ندارد زیرا دامین کنترلرها هیچ دیتابیس اکانت local ای ندارند. می‌توان آن را در سطح دامین از طریق group policy، مانندaccount lockout وpassword policy settings پیکربندی کرد.

حالت پیشنهادی برای این setting: Disabled است.

Rationale

در برخی سازمان‌ها، حفظ برنامه‌ای منظم برای تغییر دوره‌ای رمز عبور برای حساب‌هایlocal، می‌تواند یک چالش مدیریتی هولناک باشد. بنابراین، ممکن است بخواهید به جای اتکا به تغییرات منظم رمز عبور، اکانت Administrator built-in را غیرفعال کنید تا از آن در مقابل حمله محافظت کنید. یکی دیگر از دلایل غیرفعال کردن این اکانت built-in این است که بدون توجه به تعداد زیاد ورود ناموفق، اکانت قفل نخواهد شد، که این امر آن را به هدف اصلی حملات brute force تبدیل می‌کند که سعی در حدس زدن رمزها دارند. همچنین، این اکانت دارای شناسه امنیتی شناخته شده (SID) است و ابزارهای third-party نیز وجود دارند که امکان authentication را با استفاده از SID به جای نام حساب می‌دهند. این قابلیت بدین معنی است که حتی اگر نام حساب Administrator را تغییر دهید، یک مهاجم می‌تواند با استفاده از SID برای ورود به سیستم، حمله brute force را انجام دهد.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Administrator account status

Impact

اگر حساب Administrator را غیرفعال کنید، ممکن است تحت شرایط خاصی مشکلات نگهداری ایجاد شود. به عنوان مثال، اگر secure channel بین یک رایانه عضو و Domain Controller به هر دلیلی در یک محیط دامین خراب شود و هیچ اکانتlocal Administrator دیگری در آن نباشد، شما باید در حالت safe mode سیستم را دوباره راه اندازی کنید تا مشکلی که secure channel را خراب کرده است، برطرف کنید.

اگر پسورد فعلی Administrator بر اساس قوانین رمز عبور نباشد، نمی‌توانید بعد از غیرفعال کردن حساب Administrator مجدد آن را فعال کنید. در صورت بروز این وضعیت، یک عضو دیگر از گروه Administrators باید رمز عبور را روی حساب Administrator با ابزارLocal Users and Groups تنظیم کند.

Default Value

Disabled.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.