اطمینان از تنظیم Replace a process level token روی LOCAL SERVICE, NETWORK SERVICE (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting به یکprocess یا سرویس اجازه میدهد تا یک سرویس یا یکprocess دیگر را با یک نشانه دسترسی امنیتی (security access token) متفاوت شروع کند، که میتواند برای تغییر نشانه دسترسی امنیتی آنsub-process و در نتیجه افزایش دسترسی مورد استفاده قرار گیرد.
حالت پیشنهادی برای این setting: LOCAL SERVICE، NETWORK SERVICE است.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege” محسوب میشود.
نکته: یک Member Server که نقش “وب سرور” (IIS) به همراه نقش سرویس “وب سرور” را دارد نیازمند در نظر گرفتن یک استثنای خاص از این توصیه هست تا به application pool(s) مربوط به IIS این اجازه را بدهد که این مجوز را داشته باشد.
آشنایی با تنظیمات Profile System Performance
نکته2: یک Member Server که Microsoft SQL Server روی آن نصب شده نیازمند در نظر گرفتن یک استثنای خاص از این توصیه برای ورودیهای SQL-generated اضافی میباشد تا این امتیاز به آن تخصیص پیدا کند.
Rationale
کاربران دارای دسترسی Replace a process level token این امکان را دارند که مانند سایر کاربرانی که credentials آنها را میشناسند، processes ها را آغاز کنند. آنها میتوانند از این روش برای مخفی کردن اقدامات غیرمجاز خود بر روی رایانه استفاده کنند. (در رایانههای با ویندوز 2000، استفاده از مجوزReplace a process token نیاز دارد که کاربر مجوز Adjust memory quotas for a process را هم داشته باشد که در این بخش در ابتدا مورد بحث قرار گرفته است.)
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را روی LOCAL SERVICE، NETWORK SERVICE قرار دهید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Replace a process level token
Impact
در اکثر رایانه ها، این پیکربندی به صورت پیشفرض است و هیچ تأثیری نخواهد داشت. با این حال، اگر نقش “وب سرور” (IIS) به همراه نقش سرویس “وب سرور” را نصب کردید نیاز دارید تا به application pool(s) مربوط به IIS این اجازه را بدهد که این مجوز را داشته باشد.
Default Value
NETWORK SERVICE، LOCAL SERVICE.
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
