امن سازی ویندوز سرور 2012 – بخش چهل و پنجم

cis-server2012R2

اطمینان از تنظیم Replace a process level token روی LOCAL SERVICE, NETWORK SERVICE (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting به یکprocess یا سرویس اجازه می‌دهد تا یک سرویس یا یکprocess دیگر را با یک نشانه دسترسی امنیتی (security access token) متفاوت شروع کند، که می‌تواند برای تغییر نشانه دسترسی امنیتی آنsub-process و در نتیجه افزایش دسترسی مورد استفاده قرار گیرد.

حالت پیشنهادی برای این setting: LOCAL SERVICE، NETWORK SERVICE است.

توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege” محسوب می‌شود.

نکته: یک Member Server که نقش “وب سرور” (IIS) به همراه نقش سرویس “وب سرور” را دارد نیازمند در نظر گرفتن یک استثنای خاص از این توصیه هست تا به application pool(s) مربوط به IIS این اجازه را بدهد که این مجوز را داشته باشد.

آشنایی با تنظیمات Profile System Performance

نکته2: یک Member Server که Microsoft SQL Server روی آن نصب شده نیازمند در نظر گرفتن یک استثنای خاص از این توصیه برای ورودی‌های SQL-generated اضافی می‌باشد تا این امتیاز به آن تخصیص پیدا کند.

Rationale

کاربران دارای دسترسی Replace a process level token این امکان را دارند که مانند سایر کاربرانی که credentials آنها را می‌شناسند، processes ها را آغاز کنند. آن‌ها می‌توانند از این روش برای مخفی کردن اقدامات غیرمجاز خود بر روی رایانه استفاده کنند. (در رایانه‌های با ویندوز 2000، استفاده از مجوزReplace a process token نیاز دارد که کاربر مجوز Adjust memory quotas for a process را هم داشته باشد که در این بخش در ابتدا مورد بحث قرار گرفته است.)

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی LOCAL SERVICE، NETWORK SERVICE قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Replace a process level token

Impact

در اکثر رایانه ها، این پیکربندی به صورت پیش‌فرض است و هیچ تأثیری نخواهد داشت. با این حال، اگر نقش “وب سرور” (IIS) به همراه نقش سرویس “وب سرور” را نصب کردید نیاز دارید تا به application pool(s) مربوط به IIS این اجازه را بدهد که این مجوز را داشته باشد.

Default Value

NETWORK SERVICE، LOCAL SERVICE.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید