Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Обобщена информация

Тази статия описва промяна в защитата политика започва с Windows 10 версия 1709 и Windows Server 2016 версия 1709. Под новата политика само потребители, които са локални администратори на отдалечен компютър може да стартирате или спрете услугите на този компютър.

Тази статия се описва как да се избират отделни услуги от новото правило.

Допълнителна информация

Обща защита грешка е да конфигурирате услугите да използва прекалено допустимите дескриптор (вижте услуга защита и права на достъп) и по този начин неволно достъп до по-отдалечените повиквания от предназначени. Например не е необичайно да се намери услуги, които предоставят SERVICE_START или SERVICE_STOP разрешения за удостоверени потребители. Докато целта обикновено е да предостави тези права само за локални потребители nonadministrative, Удостоверени потребители включва всеки потребител или компютър акаунт в Active Directory гора, дали този акаунт е член на групата на администраторите на локален или отдалечен компютър. Прекомерно тези разрешения могат да бъдат злоупотреба и причинят щети в цялата мрежа.

При проникването и потенциални остротата на проблема и модерна сигурност практика се предполага, че е достатъчно голям домейн съдържа компрометирани компютри, новата настройка за защита на системата е въведена, изисква отдалечен повиквания също се локални администратори на компютъра, за да може изисква следните разрешения услуги:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ИЗТРИВАНЕ WRITE_DAC WRITE_OWNER

Новата настройка за защита се изисква отдалечен повиквания локални администратори на компютъра, за да поискате следнотоservice manager разрешение:

SC_MANAGER_CREATE_SERVICE

Забележка: Тази проверка на локалния администратор е в допълнение към съществуващите достъп проверка срещу услугата или услугата дескриптор на контролера. Това е въведено стартиране в Windows 10 версия 1709 и Windows Server 2016 версия 1709. По подразбиране настройката е включена.

Тази нова проверка може да предизвика проблеми за някои клиенти услуги, които разчитат на възможността за администратори да стартирате или спрете ги дистанционно. Ако е необходимо, можете да изберете отделни услуги от тази политика чрез добавяне на името на услугата RemoteAccessCheckExemptionList REG_MULTI_SZ стойността в системния регистър на следното място в системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Изпълнете следните инструкции:

  1. Изберете Старт, изберете изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и изберете следния подключ в системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Забележка ако подключът не съществува, трябва да го създадете: Редактиране на меню, изберете нов, след което изберете ключ. Въведете името на новия подключ и след това натиснете Enter.

  3. В менюто Редактиране посочете Създайи изберете REG_MULTI_SZ стойност.

  4. Въведете RemoteAccessCheckExemptionList за името на REG_MULTI_SZ стойност и след това натиснете Enter.

  5. Щракнете двукратно върху стойността на RemoteAccessCheckExemptionList , въведете името на услугата да се изключат от нови правила, след което щракнете върху OK.

  6. Затворете редактора на системния регистър и рестартирайте компютъра.

Администратори, които искат да забраните глобално тази нова проверка и възстановяване по-голямо, по сигурен поведение, да зададете стойността в системния регистър RemoteAccessExemption REG_DWORD ненулева стойност на следното място в системния регистър:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Забележка: Задаване на тази стойност временно може да бъде бърз начин да определите дали този нов модел на разрешение е причина за проблеми със съвместимостта на приложения.

Изпълнете следните инструкции:

  1. Изберете Старт, изберете изпълнение, въведете regedit в полето Отвори и след това щракнете върху OK.

  2. Намерете и след това щракнете върху следния подключ в системния регистър: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. В менюто Редактиране посочете Създайи изберете REG_DWORD (32-битова) стойност.

  4. Въведете името на стойността на REG_DWORD RemoteAccessExemption и натиснете Enter.

  5. Щракнете двукратно върху стойността на RemoteAccessExemption , въведете 1 в полето за стойност и след това щракнете върху OK.

  6. Затворете редактора на системния регистър и рестартирайте компютъра.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×