Prijavite se pomoću Microsofta
Prijavi se ili izradi račun.
Zdravo,
Odaberite drugi račun.
Imate više računa
Odaberite račun putem kojeg se želite prijaviti.

Sažetak

Ovaj članak opisuje promjena u početku pravila sigurnosti s 10 Windows verzija 1709 i 2016 poslužitelja za Windows verzije 1709. Pod novog pravila možete samo korisnike koji su lokalni administratori na udaljenom računalu pokretanje ili zaustavljanje servisa na tom računalu.

Ovaj članak opisuje kako opt pojedinačnih servisa iz novog pravila.

Dodatne informacije

Uobičajene sigurnosne pogrešku je konfigurirati usluge pretjeranog čemu sigurnosni opisnik (pogledajte Sigurnost usluge i prava pristupa), i time nenamjerno više udaljene pozivateljima nego namijenjen odobriti pristup. Na primjer, nije neuobičajene pronaći services SERVICE_START ili SERVICE_STOP dozvole dodijeliti provjereni korisnici. Dok namjeri obično je odobriti ta prava samo na lokalnom nonadministrative korisnike, Provjereni korisnici također uključuje svaki račun korisnika ili računalo u šumi Active Directory li taj račun nije član grupe Administratori na u lokalnom ili udaljenom računalu. Ove dozvole Prekomjerno nije abused i wreak havoc preko cijele mreže.

Dani pervasiveness i potencijalni ozbiljnost taj problem i praksa Moderna sigurnost uz pretpostavku da domeni bilo dovoljno velike sadrži ugrožena računala, novu postavku sigurnosti sustava uvedena je koji zahtijeva da također biti udaljeni pozivateljima Lokalni administratori na računalu da biste mogli zahtjeva sljedeće dozvole servisa:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE BRISANJE WRITE_DAC WRITE_OWNER

Nova postavka sigurnosti također zahtijeva da udaljene pozivateljima biti lokalni administratori na računalu zahtjev sljedećedozvole upravitelja kontrole servisa:

SC_MANAGER_CREATE_SERVICE

Napomena Ova provjera lokalni administrator je uz postojeće Provjera pristupa protiv servisa ili opisnik sigurnosti servis kontrolera. Tu postavku uvedena je početni u Windows 10 verzija 1709 i 2016 poslužitelja za Windows verzije 1709. Po zadanom, postavka uključena.

Nova Provjera mogu uzrokovati probleme za neke kupce koji imaju servise koji se oslanjaju na mogućnost koji nisu administratori da pokrenete ili zaustavite ih daljinski. Ako je potrebno, uključivanje pojedinačnih servisa iz ovog pravila dodavanjem naziv usluge vrijednost registra REG_MULTI_SZ RemoteAccessCheckExemptionList na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Da biste to učinili, slijedite ove korake:

  1. Odaberite Start, odaberite Pokreni, u okvir upišite regedit i kliknite u redu.

  2. Pronađite i odaberite sljedeći potključ u registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Bilješke ako potključ ne postoji, morate ga kreirati: odaberite Novona izborniku Uređivanje , a zatim odaberite ključ. Upišite naziv novi potključ, a zatim pritisnite Enter.

  3. Na izborniku Uređivanje , pokažite na Novo, a zatim odaberite Vrijednost REG_MULTI_SZ.

  4. Naziv REG_MULTI_SZ vrijednost upišite RemoteAccessCheckExemptionList i zatim pritisnite Enter.

  5. Dvokliknite vrijednost RemoteAccessCheckExemptionList , upišite naziv servisa za izuzetih iz novog pravila, a zatim kliknite u redu.

  6. Zatvorite Registry Editor, a zatim ponovo pokrenite računalo.

Administratori koji želite globalno onemogućavanje novu provjeru i vraćanje stariji, manje sigurne ponašanje možete postaviti vrijednost registra REG_DWORD RemoteAccessExemption na vrijednost koja nije nula na sljedećoj lokaciji u registru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Napomena Postavka privremeno Ova vrijednost može biti brzi način za određivanje je li ovaj novi model dozvolu uzrok problema s kompatibilnošću aplikacije.

Da biste to učinili, slijedite ove korake:

  1. Odaberite Start, odaberite Pokreni, u okvir upišite regedit i kliknite u redu.

  2. Pronađite i kliknite sljedeći potključ registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Na izborniku Uređivanje pokažite na Novo, a zatim odaberite vrijednost REG_DWORD (32-bitni).

  4. Naziv REG_DWORD vrijednost upišite RemoteAccessExemption i zatim pritisnite Enter.

  5. Dvokliknite vrijednost RemoteAccessExemption , unesite 1 u polje vrijednost podataka i kliknite u redu.

  6. Zatvorite Registry Editor, a zatim ponovo pokrenite računalo.

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS SAŽETKE SADRŽAJA

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Otkrijte Zajednica

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.

Pitajte Microsoftovu zajednicu

Microsoftova tehnička zajednica

Windows Insiders

Sudionici programa Microsoft 365 Insider

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?
Ako pritisnete Pošalji, vaše će se povratne informacije iskoristiti za poboljšanje Microsoftovih proizvoda i usluga. Vaš će IT administrator moći prikupiti te podatke. Izjava o zaštiti privatnosti.

Hvala vam na povratnim informacijama!

×