Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Shrnutí

Tento článek popisuje změnu zásad zabezpečení počínaje Windows 10 verze. 1709 a Windows Server 2016 verze. 1709. V rámci nové politiky mohou pouze uživatelé, kteří jsou místní skupině administrators ve vzdáleném počítači spuštění nebo zastavení služeb v tomto počítači.

Tento článek také popisuje, jak Odhlásit se z této nové politiky jednotlivých služeb.

Více informací

Obvyklou chybou zabezpečení je konfigurace služby použít popisovač zabezpečení příliš povolující (viz zabezpečení služby a přístupových práv) a tím neúmyslně udělit přístup vzdálený volající, než bylo zamýšleno. Není například neobvyklé najít služby, které Authenticated Users udělit oprávnění spuštění_služby nebo zastavení_služby. Záměrem je obvykle udělit tato práva pouze místní uživatelé bez správcovských práv, Authenticated Users obsahuje také každý uživatelský účet nebo účet počítače v doménové struktuře služby Active Directory, zda tento účet je členem skupiny Administrators na vzdáleného nebo místního počítače. Tato oprávnění nadměrné by mohly být zneužity a způsobí zmatek v celé síti.

Vzhledem k pronikavosti a potenciální závažnost tohoto problému a praxe moderní zabezpečení za předpokladu, že všechny dostatečně velké domény obsahuje ohrožené počítače, nové nastavení zabezpečení systému byla zavedena v které vyžaduje, aby volající vzdálený také místní správci v počítači, abyste mohli požádat o oprávnění následující služby:

ZMĚNA_KONFIGURACE_SLUŽBY SPUŠTĚNÍ_SLUŽBY ZASTAVENÍ_SLUŽBY POKRAČOVÁNÍ_PO_POZASTAVENÍ_SLUŽBY DELETE ZÁPIS_DAC ZÁPIS_VLASTNÍKA

Nové nastavení zabezpečení rovněž vyžaduje, aby volající vzdálený místní správci počítače požádat o následujícíoprávnění správce řízení služby:

SC_MANAGER_CREATE_SERVICE

Poznámka: Tato kontrola oprávnění místního správce je kromě stávající kontroly přístupu proti popisovač zabezpečení řadiče služby nebo služby. Toto nastavení bylo zavedeno spuštění v systému Windows 10 verze. 1709 a v systému Windows Server 2016 verze. 1709. Nastavení je ve výchozím nastavení zapnuta.

Nová kontrola způsobit problémy pro některé zákazníky, kteří mají služby, které spoléhají na možnost bez oprávnění správce ke spuštění a zastavení je vzdáleně. V případě potřeby můžete zvolit jednotlivé služby mimo tuto zásadu přidáním názvu služby na hodnotu REG_MULTI_SZ registru RemoteAccessCheckExemptionList v následujícím umístění registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Postupujte takto:

  1. Vyberte Start, vyberte příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.

  2. Vyhledejte a vyberte následující podklíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Poznámka: Pokud podklíč neexistuje, vytvořte ji: V nabídce Úpravy vyberte příkaz Novýa vyberte klíč. Zadejte název nového podklíče a potom stiskněte klávesu Enter.

  3. V nabídce Úpravy přejděte na příkaz Novýa potom vyberte Hodnotu REG_MULTI_SZ.

  4. Zadejte RemoteAccessCheckExemptionList jako název hodnotu REG_MULTI_SZ a stiskněte klávesu Enter.

  5. Poklepejte na hodnotu RemoteAccessCheckExemptionList , zadejte název služby mají být vyjmuty z nové zásady a potom klepněte na tlačítko OK.

  6. Ukončete program Editor registru a restartujte počítač.

Správci, kteří chtějí globálně zakázat tuto novou kontrolu a obnovení starší, méně zabezpečené chování, můžete nastavit hodnotu registru REG_DWORD RemoteAccessExemption nenulovou hodnotu v následujícím umístění registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Poznámka: Nastavení této hodnoty dočasně lze rychle určit, zda tento nový model oprávnění nezpůsobuje problémy s kompatibilitou aplikací.

Postupujte takto:

  1. Vyberte Start, vyberte příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.

  2. Vyhledejte a klepněte na následující podklíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. V nabídce Úpravy přejděte na příkaz Novýa potom vyberte hodnotu REG_DWORD (32 bitů).

  4. Jako název hodnoty REG_DWORD zadejte RemoteAccessExemption a stiskněte klávesu Enter.

  5. Poklepejte na hodnotu RemoteAccessExemption , do pole Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.

  6. Ukončete program Editor registru a restartujte počítač.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×