Kokkuvõte
Selles artiklis kirjeldatakse Windows Server 2016 versioon 1709 ja muutus turvalisuse poliitika alates Windows 10 versiooni 1709. Uue poliitika raames ainult kasutajatele, kes on kohalike administraatorite kaugarvutis käivitamisel või peatamine selles arvutis.
Selles artiklis kirjeldatakse ka üksikuid teenuseid see uus poliitika välja valida.
Lisateave
Üldine turvalisus viga on kasutada liiga leebe turbedeskriptor teenuste konfigureerimine (vt teenuse turvalisuse ja õiguste) ja seeläbi tahtmatult juurdepääsu kaugel helistades kui ette nähtud. Näiteks ei ole ebatavalised teenuseid, mis SERVICE_START või SERVICE_STOP õigusi anda autenditud kasutajad. Kuigi eesmärk on tavaliselt anda neid õigusi ainult isopening kohalikud kasutajad, Autenditud kasutajate hõlmab ka iga kasutaja või arvuti kontot Active Directory metsas, kas konto on administraatorite grupi liige on kohaliku või kaugarvuti arvutis. Nende liigne õigused võib ära ja hukatuslikuks kogu võrgus.
Antud probleemi tõsidus pervasiveness ja võimalikke ja kaasaegne turbetavana, eeldades, et kõik piisavalt suur domeeni arvutitele, süsteemi uute turbesätete võeti kasutusele mis nõuab, et kaugtöölaua helistades ka kohalike administraatorite arvuti oleks võimalik taotleda teenuse järgmised õigused:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE KUSTUTA WRITE_DAC WRITE_OWNER
Uute turbesätete nõuab ka, et kaugtöölaua helistades kohalike administraatorite taotlemiseks järgmised arvutisservice manager haldusõigus:
SC_MANAGER_CREATE_SERVICE
Märkus. See kohaliku administraatori kontroll on lisaks olemasoleva juurdepääsu kontroll teenuse või teenuse kontrolleriga turbedeskriptor vastu. See säte lisati alates Windows 10 versiooni 1709 ja Windows Server 2016 versioon 1709. Vaikimisi säte on sisse lülitatud.
See uus kontroll võib põhjustada probleeme mõned kliendid, kellel on võimalus käivitada või peatada nende eemalt administraatoritele sõltuvad teenused. Kui on vaja, saate valida, kas üksikute teenuste välja selle poliitika teenuse nimi lisamisega RemoteAccessCheckExemptionList REG_MULTI_SZ registri väärtus registri järgmises asukohas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
Selleks tehke järgmist.
-
Valige Start, valige Käivita, tippige väljale Avakäsk regedit ja seejärel klõpsake nuppu OK.
-
Leidke ja valige seejärel registrist järgmine alamvõti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Märkus kui alamvõtit pole olemas, tuleb see luua: menüü redigeerimine valige suvand Uusja valige klahvi. Tippige uue alamvõtme nimi ja vajutage sisestusklahvi Enter.
-
Menüü Redigeeri käsku Uusja valige REG_MULTI_SZ väärtust.
-
Tippige RemoteAccessCheckExemptionList nimi REG_MULTI_SZ-väärtus ja vajutage sisestusklahvi Enter.
-
Topeltklõpsake RemoteAccessCheckExemptionList väärtus, tippige uus poliitika vabastada teenuse nimi ja seejärel klõpsake nuppu OK.
-
Sulgege registriredaktor ja seejärel taaskäivitage arvuti.
Administraatorid, kes soovivad globaalselt keelake see uus sisse ja taastamine vanemad, vähem turvaline käitumine, saate seada RemoteAccessExemption REG_DWORD registriväärtuse nullist erinev väärtus registri järgmises asukohas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Märkus. Ajutine väärtuse seadmist saab kiiresti määrata, kas see uus luba mudel on põhjus rakenduste ühilduvusega seotud probleemid.
Selleks tehke järgmist.
-
Valige Start, valige Käivita, tippige väljale Avakäsk regedit ja seejärel klõpsake nuppu OK.
-
Leidke ja klõpsake registrist järgmine alamvõti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
Menüü Redigeeri käsku Uusja valige REG_DWORD väärtus (32-bitine).
-
Tippige RemoteAccessExemption REG_DWORD väärtus nime ja seejärel vajutage sisestusklahvi Enter.
-
Tehke topeltklõps RemoteAccessExemption , sisestage väljale Value data1 ja seejärel klõpsake nuppu OK.
-
Sulgege registriredaktor ja seejärel taaskäivitage arvuti.
