اطمینان از تنظیم Accounts: Limit local account use of blank passwords to console logon only روی Enabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting مشخص میکند از حسابهای کاربری local ای که پسورد محافظت شده ندارند میتوان برای ورود از مکان های دیگری به جای کنسول فیزیکی کامپیوتر استفاده کرد.
اگر این policy setting را فعال کنید، حسابهای local ای که دارای گذرواژه خالی هستند، نمیتوانند ازremote client computers وارد سیستم شوند. چنین حسابهای کاربری فقط قادر به ورود به صفحه کلید رایانه هستند.
حالت پیشنهادی برای این setting: Enabled است.
Rationale
رمزهای عبور خالی یک تهدید جدی برای امنیت رایانه است و باید هم از طریق سیاست سازمانی و هم با اقدامات فنی مناسب ممنوع شود. در حقیقت، تنظیمات پیشفرض دامینهای Active Directory حداقل به هفت کاراکتر احتیاج دارد. با این حال، کاربرانی که توانایی ایجاد حسابهای جدید را دارند، سیاستهای رمز عبور مبتنی بر دامین شما را دور میزنند و میتوانند حساب کاربری با رمزهای خالی ایجاد کنند.
به عنوان مثال، یک کاربر میتواند یک کامپیوتر مستقل (stand-alone) بسازد، یک یا چند حساب با رمزهای خالی ایجاد کند و سپس کامپیوتر را به دامین join نماید. حسابهای کاربری local با گذرواژه خالی هنوز کار میکنند. هرکسی که نام یکی از این حسابهای محافظت نشده را بداند، میتواند از آن برای ورود به سیستم استفاده کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa:LimitBlankPasswordUse
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Enabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Accounts: Limit local account use of blank passwords to console logon only
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Enabled.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
