Blokiranje udaljene pozivateljima koji nisu lokalni administratori iz usluge pokretanja/zaustavljanja

Sažetak

Ovaj članak opisuje promjena u početku pravila sigurnosti s 10 Windows verzija 1709 i 2016 poslužitelja za Windows verzije 1709. Pod novog pravila možete samo korisnike koji su lokalni administratori na udaljenom računalu pokretanje ili zaustavljanje servisa na tom računalu.

Ovaj članak opisuje kako opt pojedinačnih servisa iz novog pravila.

Dodatne informacije

Uobičajene sigurnosne pogrešku je konfigurirati usluge pretjeranog čemu sigurnosni opisnik (pogledajte Sigurnost usluge i prava pristupa), i time nenamjerno više udaljene pozivateljima nego namijenjen odobriti pristup. Na primjer, nije neuobičajene pronaći services SERVICE_START ili SERVICE_STOP dozvole dodijeliti provjereni korisnici. Dok namjeri obično je odobriti ta prava samo na lokalnom nonadministrative korisnike, Provjereni korisnici također uključuje svaki račun korisnika ili računalo u šumi Active Directory li taj račun nije član grupe Administratori na u lokalnom ili udaljenom računalu. Ove dozvole Prekomjerno nije abused i wreak havoc preko cijele mreže.

Dani pervasiveness i potencijalni ozbiljnost taj problem i praksa Moderna sigurnost uz pretpostavku da domeni bilo dovoljno velike sadrži ugrožena računala, novu postavku sigurnosti sustava uvedena je koji zahtijeva da također biti udaljeni pozivateljima Lokalni administratori na računalu da biste mogli zahtjeva sljedeće dozvole servisa:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE BRISANJE WRITE_DAC WRITE_OWNER

Nova postavka sigurnosti također zahtijeva da udaljene pozivateljima biti lokalni administratori na računalu zahtjev sljedećedozvole upravitelja kontrole servisa:

SC_MANAGER_CREATE_SERVICE

Napomena Ova provjera lokalni administrator je uz postojeće Provjera pristupa protiv servisa ili opisnik sigurnosti servis kontrolera. Tu postavku uvedena je početni u Windows 10 verzija 1709 i 2016 poslužitelja za Windows verzije 1709. Po zadanom, postavka uključena.

Nova Provjera mogu uzrokovati probleme za neke kupce koji imaju servise koji se oslanjaju na mogućnost koji nisu administratori da pokrenete ili zaustavite ih daljinski. Ako je potrebno, uključivanje pojedinačnih servisa iz ovog pravila dodavanjem naziv usluge vrijednost registra REG_MULTI_SZ RemoteAccessCheckExemptionList na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Da biste to učinili, slijedite ove korake:

  1. Odaberite Start, odaberite Pokreni, u okvir upišite regedit i kliknite u redu.

  2. Pronađite i odaberite sljedeći potključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Bilješke ako potključ ne postoji, morate ga kreirati: odaberite Novona izborniku Uređivanje , a zatim odaberite ključ. Upišite naziv novi potključ, a zatim pritisnite Enter.

  3. Na izborniku Uređivanje , pokažite na Novo, a zatim odaberite Vrijednost REG_MULTI_SZ.

  4. Naziv REG_MULTI_SZ vrijednost upišite RemoteAccessCheckExemptionList i zatim pritisnite Enter.

  5. Dvokliknite vrijednost RemoteAccessCheckExemptionList , upišite naziv servisa za izuzetih iz novog pravila, a zatim kliknite u redu.

  6. Zatvorite Registry Editor, a zatim ponovo pokrenite računalo.

Administratori koji želite globalno onemogućavanje novu provjeru i vraćanje stariji, manje sigurne ponašanje možete postaviti vrijednost registra REG_DWORD RemoteAccessExemption na vrijednost koja nije nula na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Napomena Postavka privremeno Ova vrijednost može biti brzi način za određivanje je li ovaj novi model dozvolu uzrok problema s kompatibilnošću aplikacije.

Da biste to učinili, slijedite ove korake:

  1. Odaberite Start, odaberite Pokreni, u okvir upišite regedit i kliknite u redu.

  2. Pronađite i kliknite sljedeći potključ registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Na izborniku Uređivanje pokažite na Novo, a zatim odaberite vrijednost REG_DWORD (32-bitni).

  4. Naziv REG_DWORD vrijednost upišite RemoteAccessExemption i zatim pritisnite Enter.

  5. Dvokliknite vrijednost RemoteAccessExemption , unesite 1 u polje vrijednost podataka i kliknite u redu.

  6. Zatvorite Registry Editor, a zatim ponovo pokrenite računalo.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine
Istražite osposobljavanje
Prvi koristite nove značajke
Pridružite se Microsoft Insidere

Jesu li ove informacije bile korisne?

Hvala vam na povratnim informacijama!

×