检测
分析学
2.2.28 确保批量作业日志设置为管理员
资讯类
策略设置允许账号登录使用任务调度器服务任务调度程序常用于行政目的,企业环境可能需要它高安全环境应限制使用该代码,以防止系统资源误用或防止攻击者在获取用户级计算机访问后使用恶意代码权推荐状态为:管理员
原理性:
分批作业用户右侧日志显示低风险漏洞默认设置对大多数组织都足够
撞击 :
如果您通过基于域组策略分批作业设置配置日志,计算机将无法分配用户对任务调度器中定时作业使用账户的权利安装可选组件如ASP.NET或IIS时,可能需要分配用户权限到这些组件需要的额外账户。举例说,IIS要求将用户权限分配到IIS_WPG组和IUSR_IUCUTERName,ASPNET和IWAM_IWIPERName如果用户权不分配到此组和这些账号,IIS将无法运行对正确功能所必要的COM对象
求解
要通过GP建立推荐配置,请设置UI对管理员的下列路径:计算机配置/窗口设置/本地策略/用户权限分配/Log
默认值 :
管理员、备份运算符、性能日志用户
并见
项目细节
类别 :失序控制,审计和问责
引用 :800-53AC-2,800-53AC3,800-53AC-6,800-53AC-6,800-53AC-6(7),800-53QAU-9(4)
插件 :Windows系统
控件标识符 :8dab85d51887adbed872fd287c77e709ded082cba4f1929570a959065ec70478