امن سازی SharePoint 2019 – بخش هفتم

اطمینان حاصل کنید که SharePoint setup account با حداقل privilege ها در Active Directory پیکربندی شده است.(Not Scored)

Profile Applicability

• Level 1 (L1) – Corporate/Enterprise Environment (general use)

Description

SharePoint setup account باید با حداقل privilege ها در Active Directory پیکربندی شود.

Rationale

تفکیک وظایف، یک کنترل شایع فناوری اطلاعات است که در لایه‌های مختلف سیستم اطلاعات از جمله سیستم عامل و برنامه‌ها اعمال می‌شود. این کار برای از بین بردن یا کاهش احتمال انجام یک فعالیت ممنوع توسط یک کاربر تنها است. تفکیک وظایف مستلزم آن است که شخص مسئول در تأیید عملی، همان شخصی نباشد که وظیفه اجرای آن را دارد.

این الزام برای محدود کردن میزان افشاء ناشی از اکانت‌های کاربری است که از آن‌ها برای کار داخل یک اکانت یا رول privileged استفاده می‌شود. محدود کردن دسترسی و permission های اکانت‌های privileged به حداقل مورد نیاز باعث می‌شود افشاء اطلاعات زمانی که عملیاتی داخل این اکانت‌ها اتفاق می‌افتد و forensic history ای ارائه می‌دهند، به حداقل برسد.

مستند امن سازی SharePoint 2019 – بخش ششم

این policy، privilege های setup account در AD را محدود می‌کند. با این حال، permission های پیش‌فرض برای این اکانت توسط SharePoint Products Configuration Wizard هنگام نصب محصول پیکربندی می‌شوند.

از این اکانت در هنگام نصب به عنوان اکانت Database Access یاد می‌شود. به طور پیش‌فرض، این اکانت به عنوان سرویس اکانت برای SharePoint Timer Service و SharePoint Central Administration Web Site Application Pool استفاده می‌شود.

این تنظیمات نباید تغییر کند. علاوه بر این، این اکانت نباید به عنوان سرویس اکانت برای سرویس‌های non-privileged، اپلیکیشن‌ها یا application pool ها استفاده شود.

توجه: setup account برای نصب و پیکربندی باید عضوی از گروه local Administrators در سرور SharePoint باشد.

Audit

پیکربندی سرور شیرپوینت را بررسی کنید تا تأیید کنید setup account با حداقل privilege ها در Active Directory تنظیم شده است.

1- به Active Directory Users and Computers > Users بروید.
2- برای مشاهده account properties، روی setup user account دوبار کلیک کنید.
3- تب Members of را انتخاب کرده و تایید کنید این اکانت فقط عضو Domain Users باشد.
4- تب‌های دیگر را در این قسمت انتخاب کنید تا تأیید کنید هیچ سرویس یا permission دیگری برای این اکانت پیکربندی نشده باشد.

Remediation

1- به Active Directory Users and Computers > Users بروید.
2- برای مشاهده account properties، روی setup user account دوبار کلیک کنید.
3- تب Members of را انتخاب کرده و تایید کنید این اکانت فقط عضو Domain Users باشد.
4- تب‌های دیگر را در این قسمت انتخاب کنید تا تأیید کنید هیچ سرویس یا permission دیگری برای این اکانت پیکربندی نشده باشد.

References

technet.microsoft.com/en-us/library/cc678863(v=office.16).aspx#Section2