اطمینان از تنظیم Modify an object label روی No One (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این دسترسی تعیین میکند که کدام یک از حسابهای کاربری میتوانند برچسب یکپارچگی (integrity label) مربوط به object ها، مانند فایلها، کلیدهای رجیستری یاprocesses های متعلق به سایر کاربران را تغییر دهند. فرآیندهای در حال اجرا تحت یک حساب کاربری میتوانند label مربوط به یک object که متعلق به آن کاربر است را بدون داشتن این امتیاز به سطح پایین تری تغییر دهند.
حالت پیشنهادی برای این تنظیم: no one میباشد.
Rationale
به وسیله تغییر integrity label مربوط به یک object که متعلق به یک کاربر دیگر است، ممکن است یه کاربر مخرب از آنها استفاده کند تا یک کد مخرب را بالاتر از سطح دسترسی که به او داده شده اجرا کند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی No One قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Modify an object label
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
No one
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.