Αποκλεισμός απομακρυσμένης καλούντες που δεν είναι διαχειριστές τοπικών από Έναρξη/διακοπή των υπηρεσιών

Σύνοψη

Αυτό το άρθρο περιγράφει μια αλλαγή στην αρχή πολιτικής ασφαλείας με Windows έκδοση 1709-10 και 2016 διακομιστή των Windows έκδοση 1709. Στο πλαίσιο της νέας πολιτικής, μόνο οι χρήστες που είναι τοπικοί διαχειριστές σε έναν απομακρυσμένο υπολογιστή να ξεκινήσετε ή να διακόψετε υπηρεσίες σε αυτόν τον υπολογιστή.

Αυτό το άρθρο περιγράφει επίσης τον τρόπο για να επιλέξετε μεμονωμένες υπηρεσίες από αυτήν τη νέα πολιτική.

Περισσότερες πληροφορίες

Ένα κοινό λάθος ασφαλείας είναι για να ρυθμίσετε τις υπηρεσίες για να χρησιμοποιήσετε μια περιγραφή ασφαλείας υπερβολικά προαιρετικές (βλέπε υπηρεσία ασφαλείας και τα δικαιώματα πρόσβασης), και ως εκ τούτου κατά λάθος να παραχωρήσει πρόσβαση στους καλούντες τόσο περισσότερο απομακρύνεται από τον προβλεπόμενο. Για παράδειγμα, δεν είναι ασυνήθιστο να βρείτε υπηρεσίες που χορηγούν δικαιώματα SERVICE_START ή SERVICE_STOP για χρήστες με έλεγχο ταυτότητας. Ενώ ο στόχος είναι συνήθως να παραχωρήσει τα δικαιώματα αυτά μόνο στους τοπικούς τους χρήστες, Authenticated Users περιλαμβάνει επίσης για κάθε λογαριασμό χρήστη ή τον υπολογιστή του συμπλέγματος δομών της υπηρεσίας καταλόγου Active Directory, εάν το λογαριασμό αυτό είναι μέλος της ομάδας Administrators σε το απομακρυσμένο ή τοπικό υπολογιστή. Αυτά τα υπερβολικά δικαιώματα θα μπορούσε να έχει κάνει κατάχρηση και wreak χάος σε ολόκληρο το δίκτυο.

Λόγω τη pervasiveness και τη δυνατότητα σοβαρότητα αυτού του ζητήματος και η πρακτική ασφαλείας σύγχρονα, με την προϋπόθεση ότι οποιαδήποτε αρκετά μεγάλο τομέας περιέχει υπολογιστές που έχουν δεχτεί επίθεση, μια νέα ρύθμιση ασφαλείας συστήματος Παρουσιάστηκε που απαιτεί ότι είναι επίσης απομακρυσμένη καλούντες τοπικοί διαχειριστές στον υπολογιστή για να είναι δυνατή η αίτηση τα ακόλουθα δικαιώματα υπηρεσίας:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE DELETE WRITE_DAC WRITE_OWNER

Τη νέα ρύθμιση ασφαλείας απαιτεί επίσης απομακρυσμένη καλούντες να είναι τοπικοί διαχειριστές στον υπολογιστή για να ζητήσετε το ακόλουθοδικαιώματα διαχείρισης ελέγχου τ/υ:

SC_MANAGER_CREATE_SERVICE

Σημείωση Ο έλεγχος αυτός τοπικού διαχειριστή είναι εκτός από τον υπάρχοντα έλεγχο πρόσβασης από την υπηρεσία ή την περιγραφή ασφαλείας ελεγκτή υπηρεσίας. Ότι η ρύθμιση αυτή εμφανίστηκε για πρώτη φορά εκκίνηση στα Windows 10 έκδοση 1709 και 2016 διακομιστή των Windows έκδοση 1709. Από προεπιλογή, η ρύθμιση είναι ενεργοποιημένη.

Ο έλεγχος αυτός νέα ενδέχεται να προκαλέσουν προβλήματα για ορισμένους πελάτες που διαθέτουν υπηρεσίες που εξαρτώνται από τη δυνατότητα για διαχειριστές για να ξεκινήσετε ή να διακόψετε τους από απόσταση. Εάν είναι απαραίτητο, μπορείτε να επιλέξετε μεμονωμένες υπηρεσίες από αυτήν την πολιτική, προσθέτοντας το όνομα της υπηρεσίας στην τιμή μητρώου REG_MULTI_SZ RemoteAccessCheckExemptionList στην ακόλουθη θέση μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

1. Επιλέξτε Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

2. Εντοπίστε και κατόπιν επιλέξτε το ακόλουθο δευτερεύον κλειδί στο μητρώο: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Σημείωση εάν το δευτερεύον κλειδί δεν υπάρχει, θα πρέπει να το δημιουργήσετε: από το μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, επιλέξτε το κλειδί. Πληκτρολογήστε το όνομα του νέου δευτερεύοντος κλειδιού και κατόπιν πιέστε το πλήκτρο Enter.

3. Στο μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, επιλέξτε Τιμή REG_MULTI_SZ.

4. Πληκτρολογήστε RemoteAccessCheckExemptionList για το όνομα της τιμής REG_MULTI_SZ και, στη συνέχεια, πιέστε το πλήκτρο Enter.

5. Κάντε διπλό κλικ στην τιμή RemoteAccessCheckExemptionList , πληκτρολογήστε το όνομα της υπηρεσίας, να απαλλάσσουν από τη νέα πολιτική και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

6. Κλείστε τον Επεξεργαστή μητρώου και, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.

Οι διαχειριστές που θέλουν να απενεργοποιήσετε καθολικά αυτό το νέο έλεγχο και επαναφοράς τα παλιότερα, λιγότερο ασφαλή συμπεριφορά, να ορίσετε την τιμή του μητρώου RemoteAccessExemption REG_DWORD σε μια μη μηδενική τιμή στην ακόλουθη θέση μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Σημείωση Προσωρινά η ρύθμιση αυτή η τιμή μπορεί να είναι ένας γρήγορος τρόπος για να προσδιορίσετε αν αυτό το νέο μοντέλο δικαιωμάτων είναι η αιτία των ζητημάτων συμβατότητας εφαρμογών.

Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

1. Επιλέξτε Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε regedit στο πλαίσιο Άνοιγμα και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

2. Εντοπίστε και, στη συνέχεια, κάντε κλικ στο ακόλουθο δευτερεύον κλειδί στο μητρώο: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. Στο μενού Επεξεργασία , επιλέξτε Δημιουργίακαι, στη συνέχεια, επιλέξτε REG_DWORD (32-bit) Value).

4. Για το όνομα της τιμής REG_DWORD, πληκτρολογήστε RemoteAccessExemption και, στη συνέχεια, πιέστε το πλήκτρο Enter.

5. Κάντε διπλό κλικ στην τιμή RemoteAccessExemption , εισαγάγετε την τιμή 1 στο πεδίο δεδομένα τιμής και, στη συνέχεια, κάντε κλικ στο κουμπί OK.

6. Κλείστε τον Επεξεργαστή μητρώου και, στη συνέχεια, κάντε επανεκκίνηση του υπολογιστή.