اطمینان از تنظیم Allow log on through Remote Desktop Services (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting مشخص میکند کدام کاربر یا گروه حق این را دارد که به عنوان کلاینت Remote Desktop Service لاگین کند. اگر سازمان شما از Remote Assistance به عنوان بخشی از استراتژی help desk خود استفاده میکند، یک گروه ایجاد کنید و این User right را از طریق Group Policy به آن اختصاص دهید. اگر help desk در سازمان شما از Remote Assistance استفاده نمیکند، اینuser right را فقط به گروه Administrators اختصاص دهید یا از ویژگی Restricted Groups استفاده کنید تا اطمینان حاصل شود هیچ حساب کاربری جزئی از گروه Remote Desktop Users نیست.
مستند امن سازی ویندوز سرور 2012R2 – بخش پانزدهم
این user right را به گروه Administrator ها و همین طور گروه Remote Desktop Users محدود کنید تا از دسترسی کاربران ناخواسته از طریق ویژگی Remote Assistance به رایانههای روی شبکه شما جلوگیری کند.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم: Administrators میباشد.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم: Administrators، Remote Desktop Users میباشد.
توجه: یک Member Server که نقش سرویس Remote Desktop Services را به همراه Remote Desktop Connection Breaker دارد، نیازمند در نظر گرفتن یک استثنا خاص از این توصیه است، تا به گروه Authenticated Users اجازه دهد این user right را داده شود.
توجه2: لیستهای فوق به عنوان لیستهای سفید مورد استفاده قرار میگیرد، این بدان معنی است که برای ارزیابی این توصیه، اصول فوق نیازی به حضور ندارند.
توجه3: در کلیه نسخههای ویندوز سرور قبل از سرور 2008 R2، Services Remote Desktop به عنوان Terminal Services شناخته میشدند، بنابراین، در صورت مقایسه با سیستم عامل قدیمی، باید اصطلاح قدیمی را جایگزین کنید.
هر حساب کاربری با دسترسی Allow log on through RDS، میتواند وارد کنسول ریموت کامپیوتر شود. اگر شما این حق کاربری را محدود به یوزرهای قانونی ای که نیاز به لاگین کردن در کنسول کامپیوتر دارند نکنید، کاربران غیرمجاز میتوانند نرمافزارهای مخرب را دانلود و اجرا کنند تا سطح دسترسی خود را بالاتر ببرند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on through Remote Desktop Services
Impact
حذف یوزر رایت Allow log on through Remote Desktop Services از سایر گروهها یا تغییر عضویت در این گروههای پیشفرض میتواند توانایی کاربرانی را که وظایف administrative را در سازمان شما انجام میدهند محدود کند. باید تأیید کنید که فعالیتهای delegate شده تأثیر منفی نخواهد داشت.
Default Value
در Member Sever ها: Administrators، Remote Desktop Users.
در Domain Controller ها:Administrators .
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
