اطمینان از تنظیم Manage Auditing and security log (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که کدام کاربران میتوانند Auditing options برای فایلها و دایرکتوریها را تغییر دهند و Security log را پاک کنند.
برای محیطهایی که Microsoft Exchange Server دارند، گروه Exchange Server باید از این دسترسی در Domain Controllers برخوردار باشند تا به درستی کار کنند. با توجه به این، DC هایی که به گروه Servers Exchange این امتیاز را اعطا میکنند نیز با این معیار مطابقت دارند. اگر سازمان شما از Microsoft Exchange Server استفاده نمیکند، باید این امتیاز فقط بهAdministrators روی DC محدود شود.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم: Administrators و (زمانی که در سازمان Exchange وجود دارد) Servers Exchange می باشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم: Administrators می باشد.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب می شود.
Rationale
توانایی مدیریت Security event log یک مجوز قدرتمند است و باید از آن محافظت شود. هرکسی که دارای این مجوز است، میتواند Security log را پاک کند تا شواهد مهم فعالیت غیرمجاز پاک شوند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Manage Auditing and security log
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Administrators
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
