امن سازی SharePoint 2019 – بخش ششم

اطمینان حاصل کنید که SharePoint Farm Service Account (حساب دسترسی به پایگاه داده) با حداقل امتیازات برای سرور local پیکربندی شده است.(Scored)

Profile Applicability

• Level 1 (L1) – Corporate/Enterprise Environment (general use)

Description

SharePoint farm service account (database access account) باید با حداقل امتیازات برای سرور local پیکربندی شود.

Rationale

تفکیک وظایف، یک کنترل رایج در فناوری اطلاعات است که در لایه‌های مختلف سیستم از جمله سیستم عامل و برنامه‌ها اعمال می‌شود. این کار برای از بین بردن یا کاهش احتمال انجام یک فعالیت ممنوع، توسط یک کاربر است. تفکیک وظایف مستلزم آن است که شخص مسئول در تأیید عملی، همان شخصی نباشد که وظیفه اجرای آن را دارد.

این الزام برای محدود کردن میزان افشاء ناشی از حساب‌های کاربری است که از آن‌ها برای کار داخل یک اکانت یا رول privileged استفاده می‌شود. محدود کردن دسترسی و permission های اکانت‌های privileged به حداقل مورد نیاز، باعث می‌شود افشاء اطلاعات، زمانی که عملیاتی داخل این اکانت ها اتفاق می‌افتد و forensic history ای ارائه می‌دهند، به حداقل برسد.

مستند امن سازی SharePoint2019 – بخش پنجم

این policy، privilege های Farm Account در AD را محدود می‌کند. با این حال، permission های پیش فرض برای این اکانت توسط SharePoint Products Configuration Wizard هنگام نصب محصول، پیکربندی می‌شوند.

از این اکانت در هنگام نصب به عنوان اکانت Database Access یاد می‌شود. به طور پیش فرض، این اکانت به عنوان سرویس اکانت برای SharePoint Timer Service و SharePoint Central Administration Web Site Application Pool استفاده می‌شود.

این تنظیمات نباید تغییر کند. علاوه بر این، این اکانت نباید به عنوان سرویس اکانت برای سرویس‌های non-privileged، اپلیکیشن‌ها یا application pool ها استفاده شود.

Audit

پیکربندی سرور شیرپوینت را بررسی کنید تا تأیید کنید farm service account (database access account) با حداقل privilege ها برای سرور local پیکربندی شده است.

1- در سرور (ها) ای که نرم افزار SharePoint نصب شده است، به بخش Server Manager> Local Users and Groups بروید.
2- تب Members of را انتخاب کنید و تایید کنید که این اکانت فقط عضو گروه‌های WSS_RESTRICTED_WP, WSS_ADMIN_WPG, and WSS_WPG باشد.
3- تب‌های دیگر را در این قسمت انتخاب کنید تا تأیید کنید هیچ سرویس یا مجوز دیگری برای این اکانت پیکربندی نشده است.

اگر Farm Service Account عضو گروه‌های دیگری به غیر از WSS_RESTRICTED_WPG ، WSS_ADMIN_WPG یا WSS_WPG در سرور local ای که SharePoint نصب شده است باشد، این می‌تواند یک یافته باشد.

Remediation

1- در سرور (ها) ای که نرم افزار SharePoint نصب شده، به بخش Server Manager> Local Users and Groups بروید.
2- Member مربوط به تب را انتخاب کنید و تایید کنید که این اکانت فقط عضو گروه‌های WSS_RESTRICTED_WP, WSS_ADMIN_WPG, and WSS_WPG باشد.
3- تب‌های دیگر را در این قسمت انتخاب کنید تا تأیید کنید هیچ سرویس یا مجوز دیگری برای این اکانت پیکربندی نشده است.

References

technet.microsoft.com/en-us/library/cc678863(v=office.16).aspx

مطالب این بخش برگرفته از مستند امن سازی SharePoint 2019 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.