امن سازی ویندوز سرور 2012 – بخش چهل و ششم

اطمینان از تنظیم Restore files and directories روی Administrators (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting مشخص می‌کند کدامیک از کاربران می‌توانند هنگام بازگرداندن بک آپ فایل‌ها و دایرکتوری‌ها روی کامپیوترهایی که ویندوز ویستا (یا بالاتر) بر روی آن‌ها در حال اجرا می‌باشد؛ فایل، دایرکتوری، رجیستری و سایر persistent object permissions ها را bypass کنند. این مجوز همچنین تعیین می‌کند که کدام کاربران می‌توانند مبانی امنیتی معتبر را به عنوان مالکان object ها تعیین کنند. این مجوز شبیه مجوز Back up files and directories می‌باشد.

حالت پیشنهادی برای این setting: Administrators است.

توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب می‌شود.

Rationale

یک مهاجم با استفاده از مجوز Restore files and directories می‌تواند داده‌های حساس را به رایانه بازگرداند و داده‌های جدیدی را بازنویسی کند، که می‌تواند منجر به از دست رفتن داده‌های مهم، انحراف داده‌ها یا انکار سرویس (DoS) شود.

مهاجمان می‌توانند فایل‌های اجرایی را که توسط ادمین‌های مجاز یا سرویس‌های سیستم استفاده می‌شود با نسخه‌هایی که شامل نرم افزارهای مخرب هستند رونویسی کنند تا بتوانند دسترسی خود را بالا ببرند، داده‌ها را به خطر بیاندازند و یا برای ایجاد دسترسی مداوم به رایانه، backdoor نصب نمایند.

توجه: حتی اگر اقدامات متقابل زیر، پیکربندی شده باشد، یک مهاجم هنوز می‌تواند داده‌ها را به یک رایانه در یک دامین که توسط خودش کنترل می‌شود، بازگرداند. بنابراین بسیار مهم است که سازمان‌ها از رسانه‌ای که برای تهیه بک آپ از داده‌ها استفاده می‌کنند، با دقت محافظت کنند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Restore files and directories

Impact

اگر مجوز Restore files and directories را از گروه Backup Operators و سایر حساب‌ها حذف کنید، می‌توانید انجام وظایف administrative ای که به یک سری از کاربران واگذار شده است را غیر ممکن کنید. باید تأیید کنید که این تغییر در توانایی کارکنان سازمان شما در انجام کارهای خود تأثیر منفی نخواهد گذاشت.

Default Value

در Member Server ها: Administrators، Backup Operators.
در Domain Controller ها: Administrators، Backup Operators، Server Operators.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.