اطمینان از اینکه Deny log on as a batch job شامل Guests باشد. (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که کدام حساب کاربری قادر به ورود به رایانه به عنوان batch job نیستند. یک batch job، یک batch file (.bat) نمیباشد بلکه یک موقعیت تعدادی از صفها (batch-queue facility) است. اکانت هایی که از Task Scheduler برای برنامه ریزی job ها استفاده میکنند، به این امتیاز نیاز دارند.
این امتیاز، دسترسی Log on as a batch job را جایگزین میکند که میتواند به حسابهای کاربری اجازه دهد تا job هایی که بیش از حد از منابع سیستم استفاده میکند را برنامه ریزی (schedule) کنند. چنین اتفاقی میتواند یک حمله DoS را ایجاد کند. عدم اختصاص این مجوز به حسابهای توصیه شده میتواند یک خطر امنیتی باشد.
مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و ششم
حالت پیشنهادی برای این setting باید شامل: Guests باشد.
Rationale
اکانت هایی که مجوز Log on as a batch job را دارند میتوانند job هایی که بیش از حد از منابع سیستم استفاده میکنند را برنامه ریزی (schedule) کنند و باعث ایجاد وضعیت DoS شوند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را طوری پیکربندی کنید که شامل Guests باشد:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job
Impact
اگر مجوز Deny log on as a batch job را به حسابهای کاربری اضافی اختصاص دهید، میتوانید فعالیت کاربرانی که به آنها نقشهایadministrative در سازمان داده شده را برای انجام job هایشان منع کنید. شما باید بررسی و تایید کنید که دسترسیهای داده شده تاثیر منفی نداشته باشد.
به عنوان مثال، اگر این مجوز را به اکانت IWAM_ (ComputerName) اختصاص دهید، MSM Management Point، fail خواهد شد. این اکانت در رایانههای جدید تر که ویندوز سرور 2003 روی آنها نصب شده در گروه Guests قرار ندارد، اما در رایانه ای که از ویندوز 2000 استفاده میکند این اکانت عضو گروه Guests است. بنابراین، مهم است شما بدانید که کدام اکانتها متعلق به گروههایی است که شما مجوز Deny log on as a batch job را به آنها اختصاص میدهید.
Default Value
No one
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
