CIS Microsoft Windows Server 2012 R for Domain Controller

Acest document contine recomandari relatate pentru Domain Controler

 Level 1: Ne asigurăm pentru Domain Controler că opțiunea: Allow server operators to
schedule tasks is set *Disable*.
Conform standartului CIS această politică trebuie sa fie setată *Disable*.
Setarea acestei politici ne determină faptul că operatorii care au acces pe server au
activată politica de a transmite automat informații cum ar fi locația de exemplu. Riscul acestei
polici trebuie să fie cît mai mic pentru cele mai multe organizații.
În caz că acestă stare a politicii este pornită atunci schimbările efectuate de utilizatorii
care au acces pe server prin serviciul AT (Automatic Transmition) se va executa și pe celelate
conturi. O importantă ideie care trebuie menționată aici este faptul că activînd acesta stare a
policitii atunci avem asigurarea că utilizatorii vor putea face unele schimbări limitate pe server
dar nu fac parte din grupul de admin pentru a avea acces total pentru modificări.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain controller: Allow server operators to schedule tasks

 Level 1: Ne asigurăm pentru Domain Controler că opțiunea: Allow vulnerable

Netlogon secure channel connectionsis set to *Not Configured*.
Conform standartului CIS această politică trebuie sa fie setată *Not Configured*.
Această politică de securitate ne asigură că domainul ocolește securizat conexiunile de
canal securizate petru Netlogon. Acestă politică dacă este implementată pentru o bunaă
funcționare trebuie aplicată pentru toate domainurile din forest.
 NOTE: Avem o avertizare de la Microsoft – activînd acestă politică ușor dispozitivel pot
adera la domainul nostru. Această politică de regulă trebuie utilizată temporar și ca un device
terț pentru descărcarea actualizărilor.
Ca generalizare avem următoarele: Activînd această politică expunem domainul și
directoriile spre o vulnerabilitate de securitate. Este foarte recomandat ca aceste setări să
nu fie utilizate din motive de securitate.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain controller: Allow vulnerable Netlogon secure channel connections

 Level 1: Ne asigurăm pentru Domain Controler că opțiunea: LDAP server channel

binding token requirements is set to *Always* (DC only).

LDAP – Lightweight Directory Active Protocol;

CBT – Channel Binding Token.
Conform standartului CIS această politică trebuie sa fie setată *Always*.
Acestă politică determină serverul LDAP (Domain Controller) să efectueze validarea cheilor
CBT primite de acest server și care trimite cererile prin SSL/TLS.
NOTE: Toți clienții LDAP trebuie să aibă actualizare de CVC-2017-8565 actualizare de
securitate care să fie compatibilă cu DC care au activată această opțiune.
Valitarea cheilor care sunt legate cu CBT pot preveni un atacator care poate capta
logurile de autentificare a utilizatorilor reutilizînd acreditare ale unei alte sesiuni TLS. Acest
lucru ajută și la sporirea securității în cazul *man-in-the-midle* care folosește autentificarea
LDAP prin sesiunea SSL/TLS.
Computer Configuration\Policies\Windows Settings\Local Policies\Security Options\Domain controller:
LDAP server channel binding token requirements
  Level 1: Ne asigurăm pentru Domain Controler că opțiunea: LDAP server singing
requirements is set to *Require singing* (DC only).
Conform standartului CIS această politică trebuie sa fie setată * Require singing *.
Această setare a politicii determină faptul dacă LDAP server solicită cilenților LDAP să
negocieze semnarea și autentificarea datelor.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain controller: LDAP server signing requirements

 Level 1: Ne asigurăm pentru Domain Controler că opțiunea: Refuse machine account

password changes is set to *Disable* (DC only).
Conform standartului CIS această politică trebuie sa fie setată * Disable *.
 Această setare a stării de policitii se referă la faptul ca DC să refuze la solicitările
calculatoareleor membre (calculatoarele din doamin) de a modifica parola contului.
NOTE: Unele problem pot apărea ca rezultat al expirării parolei sau dacă se realizează
întoarcerea la configurarările inițiale ale mașinii, de regulă acestă se face în particularitate de
fiecare și mai mult la mașinile virtuale. În funcție de cît de îndepărtat este acestă restabilire
(backup)cu atît parola este mai puțin recunoscută și este necesar de făcut rejoin în domain.
Acest fapt poate la fel perturba implementările VDI și va dezactiva poibilitatea de a face
schimbări permanente pe dispozitivele de scriere. Unele organizații de sinestătător în
conformitate cu aceste recomandări dezactivează expirarea parolei.
Dacă politica dată este activată pe doamin pentru toate calculatoarele membre,
atunci nu va fi posibilă schimarea parolei de pe oricare din aceste calculatoare și aceste
parole vor fi mult mai complicat de atacat.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain controller: Refuse machine account password changes

GENERALIZARE: Din toate cerințele de standartizare care sunt solicitate de CIS, în

urma verificării nici o opțiune nu corespune și nu este setată după acord.

CIS Microsoft Windows Server 2012 R for Domain member

Acest document contine recomandari relatate pentru Domain membership
 Level 1: Ne asigurăm pentru Domain Member că opțiunea: Digitally encrypt or sign
secure channel data (always) is set to *Enabled* .
Conform standartului CIS această politică trebuie sa fie setată * Enable *. Toate
legăturile de date trebuie să fie semnate sau criptate.
 Această setare a politicii ne oferă posibilitatea ca tot traficul inițializat de vreun membru
de domain să fie securizat, semnat sau criptat.
Odată ce un calculator e introdus în domain are și un cont creat. După introducerea în domain
calculatorul utilizează parola care a fost generată pentru canalul securizat cu DC și pentru
care se resetează mereu.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain member: Digitally encrypt or sign secure channel data (always)

 Level 1: Ne asigurăm pentru Domain Member că opțiunea: Digitally encrypt secure

channel data (when possible) is set to *Enabled* .
Conform standartului CIS această politică trebuie sa fie setată *Enable *.
Această setare a politicii determină faptul că oricare membru/calculator al domainului
trebuie să negocieze criptarea pentru tot traficul inițiat pe canalul securizat.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain member: Digitally encrypt secure channel data (when possible)
 Level 1: Ne asigurăm pentru Domain Member că opțiunea: Digitally sign secure
channel data (when possible) is set to *Enabled* .
Conform standartului CIS această politică trebuie sa fie setată *Enable *.
Această setare a politicii determină faptul că trebuie să se negocieze cu tot traficul de pe
canalul securizat și să fie semnat. Semnătura digitală protejează traficul de orice modificare
care ar fi încercată de a fi facută de oricare persoană care capturează careva informații care
sunt transmise în rețea.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain member: Digitally sign secure channel data (when possible)
 Level 1: Ne asigurăm pentru Domain Member că opțiunea: Disable machine account
password changes is set to *Disabled*.
Conform standartului CIS această politică trebuie sa fie setată *Disable *.
Această setare de politică determină faptul dacă un membru din domain poate modifica
periodic parola calculatorului. Calculatoarele la care nu se schimbă automat parolele de cont
sunt potențial vulnerabile, deoarece un atacator ar putea fi capabil să afle parola pentru contul
de domeniu al sistemului.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain member: Disable machine account password changes
  Level 1: Ne asigurăm pentru Domain Member că opțiunea: Maximum machine
account password age is set to *30 or few days, but not 0*.
Conform standartului CIS politica trebuie sa fie setată *30 or few days, but not 0*.
Această setare ne permite să selectăm perioada permisă pentru un cont de calculator. În mod
implicit membrii de domain își schimbă automat parolele de domain la feicare 30 de zile.
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security
Options\Domain member: Maximum machine account password age

 Level 1: Ne asigurăm pentru Domain Member că opțiunea: Do not display last user
name age is set to *Enabled*.
Conform standartului CIS politica trebuie sa fie setată *Enabled*.