Shrnutí
Tento článek popisuje změnu zásad zabezpečení počínaje Windows 10 verze. 1709 a Windows Server 2016 verze. 1709. V rámci nové politiky mohou pouze uživatelé, kteří jsou místní skupině administrators ve vzdáleném počítači spuštění nebo zastavení služeb v tomto počítači.
Tento článek také popisuje, jak Odhlásit se z této nové politiky jednotlivých služeb.
Více informací
Obvyklou chybou zabezpečení je konfigurace služby použít popisovač zabezpečení příliš povolující (viz zabezpečení služby a přístupových práv) a tím neúmyslně udělit přístup vzdálený volající, než bylo zamýšleno. Není například neobvyklé najít služby, které Authenticated Users udělit oprávnění spuštění_služby nebo zastavení_služby. Záměrem je obvykle udělit tato práva pouze místní uživatelé bez správcovských práv, Authenticated Users obsahuje také každý uživatelský účet nebo účet počítače v doménové struktuře služby Active Directory, zda tento účet je členem skupiny Administrators na vzdáleného nebo místního počítače. Tato oprávnění nadměrné by mohly být zneužity a způsobí zmatek v celé síti.
Vzhledem k pronikavosti a potenciální závažnost tohoto problému a praxe moderní zabezpečení za předpokladu, že všechny dostatečně velké domény obsahuje ohrožené počítače, nové nastavení zabezpečení systému byla zavedena v které vyžaduje, aby volající vzdálený také místní správci v počítači, abyste mohli požádat o oprávnění následující služby:
ZMĚNA_KONFIGURACE_SLUŽBY SPUŠTĚNÍ_SLUŽBY ZASTAVENÍ_SLUŽBY POKRAČOVÁNÍ_PO_POZASTAVENÍ_SLUŽBY DELETE ZÁPIS_DAC ZÁPIS_VLASTNÍKA
Nové nastavení zabezpečení rovněž vyžaduje, aby volající vzdálený místní správci počítače požádat o následujícíoprávnění správce řízení služby:
SC_MANAGER_CREATE_SERVICE
Poznámka: Tato kontrola oprávnění místního správce je kromě stávající kontroly přístupu proti popisovač zabezpečení řadiče služby nebo služby. Toto nastavení bylo zavedeno spuštění v systému Windows 10 verze. 1709 a v systému Windows Server 2016 verze. 1709. Nastavení je ve výchozím nastavení zapnuta.
Nová kontrola způsobit problémy pro některé zákazníky, kteří mají služby, které spoléhají na možnost bez oprávnění správce ke spuštění a zastavení je vzdáleně. V případě potřeby můžete zvolit jednotlivé služby mimo tuto zásadu přidáním názvu služby na hodnotu REG_MULTI_SZ registru RemoteAccessCheckExemptionList v následujícím umístění registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Postupujte takto:
-
Vyberte Start, vyberte příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
-
Vyhledejte a vyberte následující podklíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Poznámka: Pokud podklíč neexistuje, vytvořte ji: V nabídce Úpravy vyberte příkaz Novýa vyberte klíč. Zadejte název nového podklíče a potom stiskněte klávesu Enter.
-
V nabídce Úpravy přejděte na příkaz Novýa potom vyberte Hodnotu REG_MULTI_SZ.
-
Zadejte RemoteAccessCheckExemptionList jako název hodnotu REG_MULTI_SZ a stiskněte klávesu Enter.
-
Poklepejte na hodnotu RemoteAccessCheckExemptionList , zadejte název služby mají být vyjmuty z nové zásady a potom klepněte na tlačítko OK.
-
Ukončete program Editor registru a restartujte počítač.
Správci, kteří chtějí globálně zakázat tuto novou kontrolu a obnovení starší, méně zabezpečené chování, můžete nastavit hodnotu registru REG_DWORD RemoteAccessExemption nenulovou hodnotu v následujícím umístění registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Poznámka: Nastavení této hodnoty dočasně lze rychle určit, zda tento nový model oprávnění nezpůsobuje problémy s kompatibilitou aplikací.
Postupujte takto:
-
Vyberte Start, vyberte příkaz Spustit, do pole Otevřít zadejte příkaz regedit a klepněte na tlačítko OK.
-
Vyhledejte a klepněte na následující podklíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
V nabídce Úpravy přejděte na příkaz Novýa potom vyberte hodnotu REG_DWORD (32 bitů).
-
Jako název hodnoty REG_DWORD zadejte RemoteAccessExemption a stiskněte klávesu Enter.
-
Poklepejte na hodnotu RemoteAccessExemption , do pole Údaj hodnoty zadejte hodnotu 1 a klepněte na tlačítko OK.
-
Ukončete program Editor registru a restartujte počítač.