منع طالبي الاستدعاء البعيد غير المسؤولين المحليين من خدمات تشغيل/إيقاف

الملخص

توضح هذه المقالة إجراء تغيير في بداية نهج الأمان مع 10 Windows الإصدار 1709 و 2016 ملقم Windows الإصدار 1709. وبموجب السياسة الجديدة، فقط للمستخدمين الذين هم المسؤولين المحليين على جهاز كمبيوتر بعيد بدء أو إيقاف الخدمات على هذا الكمبيوتر.

توضح هذه المقالة أيضا كيفية تمكين الخدمات الفردية من هذا النهج الجديد.

مزيد من المعلومات

خطأ أمان عامة تكوين الخدمات لاستخدام واصف أمان متساهلة أكثر من اللازم (انظر حقوق الوصول وخدمة الأمن)، وذلك دون قصد منح حق الوصول لطالبي الاستدعاء البعيد أكثر مما هو مقصود. على سبيل المثال، ليس من غير عادية للبحث عن خدمات منح أذونات SERVICE_START أو SERVICE_STOP "المستخدمين المعتمدين". بينما عادة الهدف لمنح هذه الحقوق للمستخدمين غير المسؤولين المحليين فقط، Authenticated Users يتضمن أيضا كل حساب مستخدم أو كمبيوتر في مجموعة تفرعات "Active Directory"، ما إذا كان هذا الحساب عضوا المجموعة Administrators على الكمبيوتر البعيد أو المحلي. يمكن إساءة استخدام هذه الأذونات المفرط وتعيث فساداً عبر شبكة كاملة.

نظراً لشيوع واحتمال خطورة هذه المشكلة وممارسة الأمن الحديثة بافتراض أن يحتوي أي مجال كبير بما فيه الكفاية على الحواسيب المتواطئة، إعداد أمان نظام جديد تم تقديمه يتطلب أيضا أن طالبي الاستدعاء البعيد المسؤولين المحليين على الكمبيوتر لتتمكن من طلب أذونات الخدمات التالية:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE حذف WRITE_DAC WRITE_OWNER

إعداد الأمان الجديد أيضا يتطلب أن طالبي الاستدعاء البعيد المسؤولين المحليين على الكمبيوتر لطلب ما يليإذن إدارة تحكم الخدمة:

SC_MANAGER_CREATE_SERVICE

ملاحظة: يتم هذا الاختيار المسؤول المحلي إضافة إلى فحص الوصول الموجودة مقابل الخدمة أو خدمة وحدة التحكم واصف الأمان. تم تقديم هذا الإعداد البدء في 10 Windows الإصدار 1709 وعام 2016 ملقم Windows الإصدار 1709. بشكل افتراضي، الإعداد قيد التشغيل.

هذا الاختيار الجديدة قد تسبب مشاكل لبعض العملاء الذين يستخدمون الخدمات التي تعتمد على القدرة لغير المسؤولين ببدء تشغيلها أو إيقافها عن بعد. إذا لزم الأمر، يمكنك أن تختار الخدمات الفردية من هذا النهج عن طريق إضافة اسم الخدمة إلى قيمة التسجيل REG_MULTI_SZ ريموتيكسيسشيكيكسيمبتيونليست في موقع التسجيل التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

للقيام بذلك، اتبع الخطوات التالية:

1. حدد تاريخ بدءوحدد تشغيل، اكتب regedit في مربع فتح وثم انقر فوق موافق.

2. موقع ومن ثم حدد المفتاح الفرعي التالي في السجل: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM ملاحظة في حالة عدم وجود المفتاح الفرعي، يجب إنشاء ذلك: من القائمة تحرير ، حدد جديد، وحدد المفتاح. اكتب اسم المفتاح الفرعي الجديد واضغط على Enter.

3. في القائمة تحرير ، أشر إلى جديد، ومن ثم حدد قيمة REG_MULTI_SZ.

4. اكتب ريموتيكسيسشيكيكسيمبتيونليست لاسم قيمة REG_MULTI_SZ، واضغط على Enter.

5. انقر نقراً مزدوجاً فوق القيمة ريموتيكسيسشيكيكسيمبتيونليست ، اكتب اسم الخدمة بإعفاء من النهج الجديد، ثم انقر فوق موافق.

6. قم بإنهاء "محرر التسجيل"، وقم بإعادة تشغيل جهاز الكمبيوتر.

المسؤولين الذين يريدون تعطيل التحقق من جديد واستعادة هذا على الصعيد العالمي السلوك القديمة وتأمين أقل، تعيين قيمة التسجيل REG_DWORD ريموتيكسيسيكسيمبتيون إلى قيمة غير صفرية في موقع التسجيل التالي:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

ملاحظة: يمكن تعيين هذه القيمة مؤقتاً كطريقة سريعة لتحديد ما إذا كان هذا النموذج إذن سبب مشكلات توافق التطبيقات.

للقيام بذلك، اتبع الخطوات التالية:

1. حدد تاريخ بدءوحدد تشغيل، اكتب regedit في مربع فتح وثم انقر فوق موافق.

2. تحديد موقع وثم انقر فوق المفتاح الفرعي التالي في السجل: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. في القائمة تحرير ، أشر إلى جديد، ومن ثم حدد قيمة REG_DWORD (32-بت).

4. اكتب ريموتيكسيسيكسيمبتيون لاسم قيمة REG_DWORD ومن ثم اضغط Enter.

5. انقر نقراً مزدوجاً فوق القيمة ريموتيكسيسيكسيمبشن وأدخل 1 في حقل بيانات القيمة ثم انقر فوق موافق.

6. قم بإنهاء "محرر التسجيل"، وقم بإعادة تشغيل جهاز الكمبيوتر.