اطمینان از تنظیم Audit: Shut down system immediately if unable to log security Audits روی Disabled (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که اگر سیستمی که قادر به log کردن Security event ها نباشد، خاموش میشود یا خیر. این یک الزام برای گواهیTrusted Computer System Evaluation Criteria (TCSEC)-C2 و Common Criteria میباشد تا در صورتی که Audit system توانایی log کردن Auditable event ها را ندارد از ایجاد و رخ دادن آنها جلوگیری کند.
مایکروسافت تصمیم گرفته است با متوقف کردن سیستم و نمایش پیام stop در صورت عدم موفقیت (failure) سیستم Auditing، این الزام را برآورده سازد. هنگامی که این policy setting فعال باشد، اگر یکsecurity Audit به هر دلیلی نتواند log شود، سیستم خاموش خواهد شد.
اگر Shut down system immediately if unable to log security Audits setting (سیستم را خاموش کنید بلافاصله اگر قادر به وارد کردن تنظیمات حسابرسی امنیتی نیست) فعال باشد، ممکن است خرابی (failure) سیستم به صورت برنامه ریزی نشده رخ دهد.
مسئولیت administrative میتواند بسیار مهم باشد، به ویژه اگر روش Retention برایSecurity log را طوری پیکربندی کنید تا event ها را overwrite نکند (پاک کردن log به صورت دستی انجام شود). این پیکربندی باعث میشود که یک تهدید repudiation (یک backup operator میتواند انکار کند که آنها از دادهها را بکاپ تهیه نموده یا آن را بازیابی کردهاند)، به یک آسیبپذیری انکار سرویس (DoS) تبدیل شود، زیرا سرور میتواند در صورت اشباع شدن از logon event ها و security event های دیگر، مجبور (force) به خاموش شدن شود.
همچنین، به دلیل اینکه خاموش شدن اتفاق مطلوب و خوشایندی نیست، ممکن است آسیب جبران ناپذیری به سیستمعامل، برنامهها یا دادهها وارد شود. اگرچه فایل سیستم NTFS هنگام خاموش شدن غیرمنتظره رایانه، integrity خود را تضمین میکند، اما نمیتواند تضمین کند که تمامی دیتا فایلها برای تمامی اپلیکیشنها به همان صورتی که قبل از ریستارت شدن سیستم بودند، قابل استفاده باشند.
حالت پیشنهادی برای این setting: Disabled است.
Rationale
اگر رایانه قادر به ضبط وقایع در Security log نباشد، ممکن است مدارک مهم یا اطلاعات عیب یابی مهم پس از یک حادثه امنیتی برای بررسی در دسترس نباشد. همچنین، یک مهاجم میتواند به طور پنهانی حجم زیادی از Security log event ها را ایجاد کند تا کامپیوتر را force به خاموش شدن کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است. این group policy setting توسط مکان registry زیر پشتیبانی میشود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa:CrashOnAuditFail
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Disabled قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Audit: Shut down system immediately if unable to log security Audits
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Disabled.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.