اطمینان حاصل کنید که Deny log on locally شامل Guests باشد. (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این تنظیم امنیتی مشخص میکند کدام یک از کاربران از ورود به کامپیوتر منع میشوند. این امتیاز، مجوز”Allow log on locally” را لغو میکند اگر یک اکانت شامل هر دو policy باشد.
حالت پیشنهادی برای این setting باید شامل: Guests باشد.
نکته مهم: اگر این تنظیم امنیتی را برای گروه Everyone اعمال کنید، هیچ کس نمیتواند به صورت locally وارد سیستم شود.
Rationale
از هر حساب کاربری با دسترسیlog on locally، میتوان برای ورود به سیستم در کنسول رایانه استفاده کرد. اگر این مجوز محدود به کاربران قانونی نباشد که نیاز به ورود به کنسول رایانه دارند، کاربران غیرمجاز ممکن است نرم افزاری مخرب را که دسترسی آنها را بالا تر میبرد، بارگیری و اجرا کنند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را طوری پیکربندی کنید که شامل Guests باشد:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally
Impact
اگر مجوز Deny log on locally user را به اکانتهای اضافی اختصاص دهید، میتوانید فعالیت کاربرانی که به آنها نقشهایadministrative در سازمان داده شده را محدود کنید.
هرچند شما باید این مجوز را به اکانت ASPNET در کامپیوترهایی که IIS 6.0 را اجرا میکنند اعطا کنید. شما باید بررسی و تایید کنید که دسترسیهای داده شده تاثیر منفی نداشته باشد.
Default Value
No one.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
