تنظیم Impersonate a client after authentication (Scored)
Profile Applicability
• Level 1 – Domain Controller
• Level 1 – Member Server
Description
این policy setting اجازه میدهد تا برنامههایی که به نمایندگی از یک کاربر اجرا میشوند از آن کاربر (یا یک اکانت مشخص شده دیگر) جعل هویت کنند تا بتوانند به نمایندگی از آن کاربر عمل کنند. اگر این مجوز برای این نوع جعل هویت لازم باشد، یک کاربر غیرمجاز قادر نخواهد بود کلاینت را متقاعد کند مثلاً با روشremote procedure call (RPC) یا named pipes به یک سرویس که برای جعل هویت آن کلاینت ایجاد کرده متصل شود تا بتواند دسترسی آن کاربر غیر مجاز را در سطح administrator یا system ارتقا دهد.
سرویسهایی که توسط Service Control Manager آغاز شدهاند، گروه built-in Service را به طور پیشفرض به نشانههای دسترسی (access tokens) خود اضافه میکند. سرورهای COM که توسط زیرساختهای COM راه اندازی شدهاند و طوری پیکربندی شدهاند که باید تحت یک حساب کاربری خاص اجرا شوند، گروهService را نیز به نشانههای دسترسی (access tokens) خود اضافه کردهاند.
همچنین، یک کاربر در صورت وجود هر یک از شرایط زیر میتواند یک access tokens را جعل کند:
• نشانه دسترسی که جعل شده است برای این کاربر باشد.
• کاربر، در اینlogon session، با مجوزی صریح و روشن برای ایجاد access token وارد شبکه شود.
• سطح درخواستی کمتر از Impersonate (جعل هویت) مانند Anonymous یا Identify داشته باشد.
یک مهاجم با مجوز Impersonate a client after authentication میتواند یک سرویس ایجاد کند، کلاینت را فریب دهد تا آنها را به سرویس متصل کند و سپس هویت آن کلاینت را جعل کند و سطح دسترسی مهاجم را به اندازه کلاینت ارتقا دهد.
• Level 1 – Domain Controller: حالت توصیه شده برای این تنظیم: Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE است.
• Level 1 – Member Server: حالت توصیه شده برای این تنظیم: Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE و (زمانی که رول Web Server (IIS) را با رول Web Services نصب باشد) IIS_IUSRS است.
توجه: این مجوز برای اهداف حسابرسی یک “sensitive privilege ” محسوب میشود.
نکته: یک Member Server که Microsoft SQL Server و مؤلفه اختیاری Integration Services روی آن نصب شده نیازمند در نظر گرفتن یک استثنای خاص از این توصیه برای ورودیهای SQL-generated اضافی میباشد تا این امتیاز به آن تخصیص پیدا کند.
Rationale
یک مهاجم با مجوز Impersonate a client after authentication میتواند یک سرویس ایجاد کند، کلاینت را فریب دهد تا آنها را به سرویس متصل کند و سپس هویت آن کلاینت را جعل کند سطح دسترسی مهاجم را به اندازه ی کلاینت ارتقا دهد.
Audit
به مسیر UI که در بخش Remediation قرار دارد بروید و تأیید کنید که طبق دستورالعمل تنظیم شده است.
Remediation
برای ایجاد پیکربندی توصیه شده از طریق GP، path UI داده شده را پیکربندی کنید:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Impersonate a client after authentication
Impact
در اکثر رایانهها، این پیکربندی به صورت پیشفرض است و هیچ تأثیری نخواهد داشت. با این حال، اگر نقش Web Server (IIS) را با نقش Web Services نصب کرده باشید، لازم است این مجوز را به IIS_IUSRS بدهید.
Default Value
Administrators، LOCAL SERVICE، NETWORK SERVICE، SERVICE
مطالب این بخش برگرفته از مستند امن سازی ویندوز سرور 2012R2 مربوط به وب سایت CIS می باشد.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.