اطمینان از تنظیم Debug programs روی Administrators (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که کدام کاربران حق دارند یک debugger را به process ای یا kernel متصل کنند، که دسترسی کاملی را به اجزای حساس و حیاتی سیستم عامل فراهم میکند. نیازی نیست این user right به برنامه نویسانی که مشغولdebug کردن برنامههایی که خودشان نوشته اند، اختصاص داده شود. با این حال، توسعه دهندگان که در حال debug کردن اجزای جدید سیستم هستند به آن احتیاج دارند.
حالت پیشنهادی برای این setting: Administrators است.
توجه: این مجوز برای اهداف حساس یک “sensitive privilege ” محسوب میشود.
Rationale
امتیاز “Debug programs” میتواند برای بدست آوردن اطلاعات حساس کامپیوتر از memory یا دسترسی به ساختار kernel یا اپلیکیشن ها استفاده شود. برخی از ابزارهای حمله این user right را اکسپلویت میکنند تا پسوردهای hash شده و دیگر اطلاعات امنیتی خصوصی را استخراج کنند یا کد rootkit را در سیستم قرار دهند.
امن سازی ویندوز سرور 2012R2 – بخش بیست و چهارم
به طور پیشفرض، امتیاز “Debug programs” فقط به administrators اختصاص داده میشود، که به کاهش خطر این آسیبپذیری کمک میکند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Debug programs
Impact
اگر این user right را لغو کنید، هیچ کس قادر بهdebug کردن برنامهها نیست. با این حال به ندرت این user right در کامپیوترها نیاز میشود. اگر مشکلی بوجود آمده باشد که نیاز به debug کردن یک برنامه در یک production server باشد، میتوانید سرور را به طور موقت به یک OU دیگر منتقل کنید و امتیاز “Debug programs” را به یک group policy جداگانه برای آن OU اختصاص دهید.
service account ای که برای cluster service استفاده میشود نیاز به امتیاز “Debug programs” دارد؛ اگر آن را نداشته باشد، Windows Clustering، fail خواهد شد.
ابزارهایی که برای مدیریت process ها استفاده میشوند، نمیتوانند روی process هایی که شخص دیگری آن process را اجرا کرده و متعلق به مالک این tool ها نیست، اثر بگذارند. برای مثال ابزار Windows Server 2003 Resource Kit با نام kill.exe نیازمند این امتیاز برای administrators است تا بتوانند به process هایی که خودشان آن را start نکردهاند، خاتمه دهند.
Default Value
Administrators
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
