امن سازی ویندوز سرور 2012 – بخش بیست و ششم

cis-server2012R2

اطمینان از تنظیم Deny access to this computer from the network (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting، کاربران را از اتصال از طریق شبکه به یک کامپیوتر که به کاربران، پنهانی امکان دسترسی و تغییر data ها را به صورت remote می‌دهد، منع می‌کند. در محیط‌هایی با امنیت بالا، نباید نیازی به این باشد که remote user ها دسترسی به اطلاعات داخل یک کامپیوتر داشته باشند. در عوض، اشتراک فایل باید با استفاده از سرورهای شبکه انجام شود. این user right، امتیاز “Access this computer from the network” را لغو می‌کند اگر یک حساب کاربری هر دوی این user right ها را داشته باشد.

Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم باید شامل: Guest باشد.
Level 1 – Member Server: حالت توصیه شده برای این تنظیم باید شامل: Guest، Local Account و یک عضو از گروه Administrators باشد.

احتیاط: پیکربندی یک سرورstandalone (به هیچ دامین ای join نشده باشد) همانطور که در بالا توضیح داده شد، ممکن است منجر به عدم توانایی در مدیریت از راه دور سرور شود.

نکته: شناسه امنیتی local account و عضو گروه Administrators در سرور 2008 R2 و سرور 2012 (غیر R2) وجود ندارد مگر اینکه MSKB 2871997 نصب شده باشد.

نکته 2: پیکربندی یک Member Server یا سرور standalone همانطور که در بالا توضیح داده شد، ممکن است روی برنامه‌هایی که یک local service account ایجاد می‌کنند و آن را در گروه Administrators قرار می‌دهند تأثیر منفی بگذارد – در این حالت شما باید برنامه را convert کنید تا از یک domain-hosted service استفاده کند، یا اکانت local را حذف کنید و از عضو گروه administrators این امتیاز و دسترسی را بگیرید.

مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و پنجم

استفاده از یک اکانت domain-hosted service نسبت به موارد دیگر بیشتر ترجیح داده می‌شود.

Rationale

کاربرانی که می‌توانند از طریق شبکه به رایانه وارد شوند می‌توانند به لیست‌هایی از اسامی اکانت ها، نام گروه‌ها و منابع share شده دسترسی داشته باشند. کاربران مجاز به دسترسی به فولدرها و فایل‌های share شده می‌توانند از طریق شبکه متصل شده و احتمالاً data ها را مشاهده یا تغییر دهند.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny access to this computer from the network

Impact

اگر امتیاز Deny access to this computer from the network را برای سایر گروه‌ها تنظیم نمایید، می‌توانید دسترسی کاربرانی که به آن‌ها نقش‌هایadministrative در سازمان اختصاص داده شده را محدود کنید. شما باید بررسی و تایید کنید که دسترسی‌های داده شده تاثیر منفی نداشته باشند.

Default Value

Guest.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.

درباره نویسنده: احسان نیک آور

ممکن است دوست داشته باشید