اطمینان از تنظیم Synchronize directory service data روی No One (Scored) (DC only)
Profile Applicability
• Level 1 – Domain Controller
Description
این تنظیم امنیتی تعیین میکند که کدامیک از کاربران و گروهها مجاز به همگام سازی (synchronize) همه دادههای دایرکتوری سرویس هستند. این Policy همچنین به عنوان Active Directory synchronization شناخته میشود.
حالت پیشنهادی برای این تنظیم: no one میباشد.
Rationale
مجوز Synchronize directory service data بر Domain Controllers تأثیر میگذارد. فقط کنترل کننده دامنه باید قادر به همگامسازی دادههای دایرکتوری سرویس باشد.
Domain Controllers به صورت وراثتی این مجوز را دارند، زیرا فرآیند همگامسازی در چارچوب اکانت سیستم در Domain Controllers انجام میشود. مهاجمی که این مجوز را در اختیار دارد، میتوانند تمام اطلاعات ذخیره شده در دایرکتوری را مشاهده کند. آنها سپس میتوانند از بعضی از این اطلاعات برای تسهیل حملات اضافی یا افشای دادههای حساس مانند شماره تلفن مستقیم یا آدرسهای فیزیکی استفاده کنند.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی No One قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Synchronize directory service data
Impact
هیچ –این یک رفتار پیشفرض است.
Default Value
No one
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
