לחסום מרחוק למתקשרים שאינם מנהלים מקומיים מתוך הפעלת/הפסקת שירותים

סיכום

מאמר זה מתאר את שינוי מדיניות האבטחה המתחיל 10 Windows גירסה 1709 ו- 2016 שרת Windows גירסה 1709. תחת מדיניות חדשה, רק למשתמשים שאינם מנהלים מקומיים במחשב מרוחק באפשרותך להתחיל או להפסיק שירותים במחשב זה.

מאמר זה מתאר גם כיצד לבחור שירותים בודדים מתוך מדיניות חדשה זו.

מידע נוסף

הוא טעות אבטחה נפוצות כדי לקבוע תצורה של שירותים לשימוש של מתאר האבטחה מתירניות עבור יתר (ראה אבטחת שירות וזכויות Access), ובכך בטעות להעניק גישה למתקשרים מרוחק יותר מזה שנועד. לדוגמה, הוא אינו יוצא דופן למצוא שירותים המעניקות הרשאות SERVICE_START או SERVICE_STOP משתמשים מאומתים. בעוד מטרתה היא בדרך כלל כדי להעניק זכויות אלה רק על משתמשים שאינם מנהלים מקומיים, משתמשים מאומתים כוללת גם כל חשבון משתמש או מחשב ביער של Active Directory, בין אם החשבון הוא חבר בקבוצה Administrators על ה מחשב מקומי או מרוחק. הרשאות אלה עודפת עלולה להיות abused ואת לעשיית שמות ברחבי הרשת כולה.

בהינתן החומרה pervasiveness ואת הפוטנציאל של הבעיה ותרגל אבטחה מודרניות של בהנחה כי בכל תחום גדול מספיק מכיל מחשבים פרוץ, הגדרת אבטחה המערכת החדשה הוצגה דורש מתקשרים מרחוק גם להיות מנהלים מקומיים במחשב יוכלו לבקש שירות ההרשאות הבאות:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE מחק WRITE_DAC WRITE_OWNER

הגדרת אבטחה חדשה דורשת גם מתקשרים מרחוק להיות מנהלים מקומיים במחשב כדי לבקש הבאותהרשאה של מנהל בקרת השירות:

SC_MANAGER_CREATE_SERVICE

הערה בדיקה זו המנהל המקומי הוא בנוסף בדיקת הגישה הקיימת מול שירות או מתאר האבטחה של בקר שירות. הגדרה זו הוצגה החל ב- Windows 10 גירסה 1709 ו- 2016 שרת Windows גירסה 1709. כברירת מחדל, ההגדרה מופעלת.

בדיקה חדשה זו עלול לגרום לבעיות עבור לקוחות שברשותם שירותים שמסתמכים על היכולת עבור משתמשים שאינם מנהלים להפעיל או לעצור אותם מרחוק. אם יש צורך, באפשרותך לבחור שירותים בודדים מתוך מדיניות זו על-ידי הוספת שם השירות לערך הרישום REG_MULTI_SZ RemoteAccessCheckExemptionList במיקום הבא ברישום:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

לשם כך, בצע את השלבים הבאים:

1. בחר באפשרות התחל, בחר הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.

2. אתר ולאחר מכן בחר את מפתח המשנה הבא ברישום: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM הערה אם מפתח המשנה לא קיים, עליך ליצור אותו: בתפריט עריכה , בחר באפשרות חדשולאחר מכן בחר מפתח. הקלד את שם מפתח המשנה החדש ולאחר מכן הקש Enter.

3. בתפריט עריכה , הצבע על חדשולאחר מכן בחר ערך REG_MULTI_SZ.

4. הקלד RemoteAccessCheckExemptionList עבור שם הערך REG_MULTI_SZ ולאחר מכן הקש Enter.

5. לחץ פעמיים על הערך RemoteAccessCheckExemptionList , הקלד את שם השירות כדי פטור ממדיניות חדש ולאחר מכן לחץ על אישור.

6. צא מ'עורך הרישום' והפעל מחדש את המחשב.

למנהלי מערכת המעוניינים כדי להשבית באופן כללי זה בדיקה חדשה ושחזור התנהגות ישנים יותר, פחות מאובטחת, באפשרותך להגדיר את ערך הרישום REG_DWORD RemoteAccessExemption לערך שאינו אפס במיקום הבא ברישום:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

הערה הגדרת ערך זה באופן זמני יכולה להיות דרך מהירה כדי לקבוע אם מודל הרשאה חדש זה הוא הגורם לבעיות של תאימות יישומים.

לשם כך, בצע את השלבים הבאים:

1. בחר באפשרות התחל, בחר הפעלה, הקלד regedit בתיבה פתח את ולאחר מכן לחץ על אישור.

2. אתר את מפתח המשנה הבא ברישום ולחץ עליו: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

3. בתפריט עריכה , הצבע על חדשולאחר מכן בחר ערך עבור REG_DWORD (32 סיביות).

4. הקלד RemoteAccessExemption שם של הערך עבור REG_DWORD ולאחר מכן הקש Enter.

5. לחץ פעמיים על הערך RemoteAccessExemption , הזן 1 בשדה נתוני ערך ולאחר מכן לחץ על אישור.

6. צא מ'עורך הרישום' והפעל מחדש את המחשב.