امن سازی ویندوز سرور 2012 – بخش چهاردهم

اطمینان از تنظیم Adjust memory quotas for a process روی Administrators, LOCAL SERVICE, NETWORK SERVICE (Scored)

Profile Applicability

• Level 1 – Domain Controller
• Level 1 – Member Server

Description

این policy setting به کاربر اجازه می‌دهد حداکثر memory موجود برای یک process را تنظیم کند. امکان تنظیم سهمیه memory برای tuning سیستم کارامد است، اما می‌توان از آن سوءاستفاده کرد. در صورت استفاده نادرست، می‌توان از آن برای اجرای یک حمله انکار سرویس (DoS) استفاده کرد.

حالت پیشنهادی برای این تنظیمات عبارت است از: Administrators، LOCAL SERVICE، NETWORK SERVICE.

نکته1: یک Member Server که نقش “وب سرور” (IIS) به همراه نقش سرویس “وب سرور” را دارد نیازمند در نظر گرفتن یک استثنای خاص از این توصیه است تا به application pool(s) مربوط به IIS این اجازه را بدهد تا این مجوز را داشته باشد.

نکته2: یک Member Server که Microsoft SQL Server روی آن نصب شده است، نیازمند در نظر گرفتن یک استثنای خاص از این توصیه برای ورودی‌های SQL-generated اضافی می‌باشد تا این امتیاز به آن تخصیص پیدا کند.

راهنمای امن سازی ویندوز سرور 2012R2 – بخش سیزدهم

یک کاربر با امتیاز Adjust memory quotas for a process می‌تواند میزان حافظه موجود برای هر process را کاهش دهد، که می‌تواند باعث کندی یا عدم موفقیت اپلیکیشن‌های مهم شبکه شود. در صورت استفاده نادرست، این امتیاز می‌تواند برای شروع حمله انکار سرویس (DoS) استفاده شود.

Audit

به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.

Remediation

برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators، LOCAL SERVICE، NETWORK SERVICE قرار دهید:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Adjust memory quotas for a process

Impact

سازمان‌هایی که کاربران را محدود به نقش‌هایی با دسترسی‌های محدود نمی‌کنند تحمیل این اقدامات برایشان دشوار است. همچنین، اگر اجزایی مانند ASP.NET یا IIS را نصب کرده‌اید، ممکن است لازم باشد حق امتیاز Adjust memory quotas for a process را به چند حساب کاربری اضافی که به این اجزا نیاز دارند اختصاص دهید.

در غیر این صورت، این اقدامات متقابل نباید تأثیری در بیشتر کامپیوترها داشته باشد. اگر این حق کاربر برای یک حساب کاربری ضروری باشد، می‌توان به جای یک حساب کاربری تحت دامین، آن را به یک local computer account اختصاص داد.

Default Value

Administrators, LOCAL SERVICE, NETWORK SERVICE.

مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.

مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.