اطمینان از تنظیم Log on as a batch job روی Administrators (Scored) (DC only)
Profile Applicability
• Level 2 – Domain Controller
Description
این policy setting به حسابهای کاربری اجازه میدهد تا هنگام ورود، از task scheduler service استفاده کنند. از آنجا که task scheduler اغلب برای اهداف administrative استفاده میشود، ممکن است در محیطهای سازمانی مورد نیاز باشد. با این وجود، استفاده از آن باید در محیطهای امنیتی بالا محدود شود تا از سوءاستفاده از منابع سیستم جلوگیری شود یا از حمله مهاجمین پس از دستیابی به سطح دسترسی کاربر به رایانه و راهاندازی کد مخرب با آن سطح دسترسی جلوگیری شود.
حالت پیشنهادی برای این setting: Administrators است.
Rationale
مجوز Log on as a batch job یک آسیبپذیری کم خطر را نشان میدهد. برای اکثر سازمانها، تنظیمات پیشفرض کافی است.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Log on as a batch job
Impact
اگر Log on as a batch job را از طریق Group Policy مبتنی بر دامین پیکربندی کنید، کامپیوتر نمیتواند مجوز را به حسابهایی که برای scheduled job ها در Task Scheduler استفاده میشوند، اختصاص دهد.
اگر اجزای اختیاری مانند ASP.NET یا IIS را نصب کنید، ممکن است لازم باشد این مجوز را به حسابهای اضافی دیگری که مورد نیاز آن مؤلفهها هستند اختصاص دهید.
به عنوان مثال، IIS نیاز به اختصاص این مجوز به گروه IIS_WPG و حسابهای IUSR_ (ComputerName)، ASPNET و IWAM_ (ComputerName) دارد. اگر این مجوز به این گروه و این حسابها اختصاص نیابد، IIS قادر به اجرای برخی object ها (اشیاء) COM که برای عملکردش مناسب هستند، نخواهد بود.
Default Value
Administrators، Backup Operators.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
