اطمینان از تنظیم Accounts: Guest account status روی Disabled (Scored) (MS only)
Profile Applicability
• Level 1 – Member Server
Description
این policy setting، فعال بودن یا غیرفعال بودن اکانت Guest را تعیین میکند. اکانت Guest به کاربران غیر مجاز شبکه اجازه میدهد تا به سیستم دسترسی پیدا کنند.
حالت پیشنهادی برای این setting: Disabled است.
توجه: این تنظیم هیچ تاثیری هنگام اعمال شدن به واحد دامین کنترلرها از طریق group policy ندارد زیرا دامین کنترلرها هیچ دیتابیس اکانت local ای ندارند. میتوان آن را در سطح دامین از طریق group policy، مانندaccount lockout وpassword policy settings پیکربندی کرد.
Rationale
اکانت پیشفرض Guest به کاربران غیر مجاز شبکه اجازه میدهد تا به عنوان Guest بدون پسورد وارد شوند. این کاربران غیر مجاز میتوانند به منابعی که برای اکانت Guest از طریق شبکه قابل دسترس میباشد، دسترسی داشته باشند.
این قابلیت بدین معنی است که هرnetwork share با مجوزهایی که امکان دسترسی به اکانت Guest، گروهGuests یا گروهEveryone را فراهم میکند از طریق شبکه قابل دسترسی است که میتواند منجر به افشاء یا انحراف اطلاعات شود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Guest account status
Impact
همه کاربران شبکه قبل از دسترسی به منابع share شده، باید احراز هویت شوند. در صورت غیرفعال کردن اکانت Guest و گزینه Network Access : گزینه Sharing and Security Model روی Guest Only تنظیم میشود، ورود به شبکه مانند مواردی که توسط Microsoft Network Server (SMB Service) انجام میشود، fail خواهد شد.
اینpolicy setting باید در اکثر سازمانها تأثیر کمی داشته باشد زیرا این تنظیم پیشفرض در Microsoft Windows 2000، Windows XP و Windows Server ™ 2003 است.
Default Value
Disabled.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
