اطمینان از تنظیم Allow log on locally روی Administrators (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting تعیین میکند که کدام کاربران میتوانند از طریق تعاملی (وارد کردن یک سوال یا فرمان) به رایانههای سازمان شما وارد شوند. لاگینهایی که با فشار دادن دکمههای CTRL+ALT+DEL روی کیبورد کلاینت انجام میشوند نیازمند این امتیاز کاربری (user right) میباشند. کاربرانی که سعی در ورود به سیستم از طریق Terminal Services / Remote Desktop یا IIS را دارند هم نیاز به این user right دارند.
این user right به صورت پیشفرض به حساب کاربری Guest اختصاص داده میشود. اگرچه این حساب کاربری به طور پیشفرض غیرفعال است، اما توصیه میشود این تنظیم را از طریق Group Policy فعال کنید. با این حال، این user right به طور کلی باید محدود به گروههای Administrators و Users باشد. اگر سازمان شما به این قابلیت نیاز دارد این user right را به گروه Backup Operators اختصاص دهید.
حالت پیشنهادی برای این setting: Administrators است.
هر حساب کاربری به وسیله “Allow log on locally” میتواند در کنسول کامپیوتر لاگین کند. اگر شما این حق کاربری را محدود به کاربران قانونی ای که نیاز به لاگین کردن در کنسول کامپیوتر دارند نکنید، کاربران غیرمجاز میتوانند نرم افزارهای مخرب را دانلود و اجرا کنند تا سطح دسترسی خود را بالاتر ببرند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally
Impact
اگر این گروههای پیشفرض را حذف کنید، میتوانید تواناییهای کاربرانی که به آنها نقشهای administrative اختصاص داده شده را محدود کنید. شما باید تایید کنید که فعالیتهای delegate شده، هیچ اثر منفی به وسیله تغییراتی که از طریق امتیاز کاربری Allow log on locally انجام میدهید نخواهد داشت.
Default Value
در Member Sever ها: Administrators، Backup Operators، Power Users، Users، Guest
در Domain Controller ها: Account Operators، Administrators، Backup Operators، Print Operators
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
