اطمینان از تنظیم Take ownership of files or other objects روی Administrators (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به کاربران اجازه میدهد تا مالکیت (ownership) فایلها، فولدرها، کلیدهای رجیستری، processes ها یا thread ها را برای خود کنند. این مجوز هر سطح دسترسی که برای محافظت از دادن مالکیت (ownership) object ها به یک کاربر مشخص وجود دارد را bypass میکند.
حالت پیشنهادی برای این setting: Administrators است.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب میشود.
Rationale
هر کاربر دارای مجوز Take ownership of files or other objects، میتواند هر object را بدون در نظر گرفتن مجوزهای موجود در آن object کنترل کند و سپس هرگونه تغییر مورد نظر خود را در آن object انجام دهد. چنین تغییراتی میتواند منجر به افشاء دادهها، انحراف دادهها یا شرایط DoS شود.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی Administrators قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Take ownership of files or other objects
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
Administrators.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
