اطمینان از تنظیم Deny log on through Remote Desktop Services (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که آیا کاربران میتوانند به عنوان Remote Desktop کلاینت وارد سیستم شوند یا خیر. پس از پیوستن Member Server اصلی به محیط دامین، دیگر نیازی به استفاده از اکانتهایlocal برای دسترسی به سرور از طریق شبکه نیست.
حسابهای دامین میتوانند به سرور برای عملیاتهای administrative ای و end-user ای دسترسی داشته باشند. این امتیاز، مجوز”Allow log on through Remote Desktop Services” را لغو میکند اگر یک اکانت شامل هر دو policy باشد.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم باید شامل: Guest باشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم باید شامل: Guest، Local Account باشد.
احتیاط: پیکربندی یک سرور standalone (به دامین Join نشده) همانطور که در بالا توضیح داده شد، ممکن است منجر به عدم توانایی در مدیریت از راه دور سرور شود.
مستند امن سازی ویندوز سرور 2012R2 – بخش بیست و نهم
نکته: شناسه امنیتی local account و عضو گروه Administrators در سرور 2008 R2 و سرور 2012 (غیر R2) وجود ندارد مگر اینکه MSKB 2871997 نصب شده باشد.
نکته2: در کلیه نسخههای ویندوز سرور قبل از سرور 2008 R2، Services Remote Desktop به عنوان Terminal Services شناخته میشدند، بنابراین، در صورت مقایسه با سیستم عامل قدیمی، باید اصطلاح قدیمی را جایگزین کنید.
Rationale
هر حساب کاربری به وسیله”Allow log on through Remote Desktop Services” میتواند در کنسول کامپیوتر لاگین کند.
اگر شما این حق کاربری را محدود به کاربران قانونی که نیاز به لاگین کردن در کنسول کامپیوتر دارند نکنید، کاربران غیرمجاز میتوانند نرم افزارهای مخرب را دانلود و اجرا کنند تاسطح دسترسی خود را بالاتر ببرند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on through Remote Desktop Services
Impact
اگر امتیاز “Deny log on through Remote Desktop Services” برای سایر گروه ها تنظیم نمایید، میتوانید دسترسی کاربرانی که به آنها نقشهای مدیریتی در سازمان اختصاص داده شده را محدود کنید. حسابهایی که دارای این user right هستند قادر به اتصال به رایانه از طریق خدمات Remote Desktop یا Remote Assistance نخواهند بود. باید بررسی و تایید کنید که دسترسی های داده شده تاثیر منفی نداشته باشد.
Default Value
No one.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
