Sign in with Microsoft
Sign in or create an account.

Ringkasan

Artikel ini menjelaskan tentang perubahan kebijakan keamanan yang diawali dengan 10 Windows versi 1709 dan Windows Server 2016 versi 1709. Di bawah kebijakan baru, hanya pengguna yang administrator lokal pada komputer jauh dapat memulai atau menghentikan layanan pada komputer.

Artikel ini juga menjelaskan bagaimana cara memilih layanan individual dari kebijakan baru ini.

Informasi selengkapnya

Kesalahan keamanan umum adalah untuk mengkonfigurasi layanan untuk menggunakan deskriptor keamanan terlalu longgar (Lihat layanan keamanan dan hak akses), dan sehingga tidak sengaja memberikan akses ke pemanggil jarak jauh lebih daripada yang dimaksud. Sebagai contoh, tidak biasa untuk menemukan layanan yang memberi izin SERVICE_START atau SERVICE_STOP untuk pengguna terotentikasi. Sementara tujuan biasanya untuk memberi hak tersebut hanya untuk pengguna nonadministratif lokal, Pengguna terotentikasi juga mencakup setiap akun pengguna atau komputer di hutan direktori aktif, Apakah akun tersebut adalah anggota grup Administrator pada komputer jarak jauh atau lokal. Izin berlebihan ini dapat disalahgunakan dan menimbulkan kekacauan di seluruh jaringan.

Mengingat tingkat keparahan meluasnya dan potensi masalah ini dan praktik keamanan modern mengasumsikan bahwa setiap cukup besar domain mencakup komputer yang meragukan, pengaturan keamanan sistem baru diperkenalkan yang memerlukan pemanggil jarak jauh juga dapat administrator lokal di komputer untuk dapat meminta izin layanan berikut ini:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE HAPUS WRITE_DAC WRITE_OWNER

Pengaturan keamanan baru juga memerlukan pemanggil jarak jauh dapat administrator lokal di komputer untuk permintaan berikut iniizin manajer kontrol Layanan:

SC_MANAGER_CREATE_SERVICE

Catatan Pemeriksaan administrator lokal adalah selain pemeriksaan akses ada layanan atau layanan kontroler deskriptor keamanan. Pengaturan tersebut diperkenalkan mulai di Windows 10 versi 1709 dan Windows Server 2016 versi 1709. Secara default, pengaturan diaktifkan.

Periksa baru ini mungkin menyebabkan masalah untuk beberapa pelanggan yang memiliki layanan yang bergantung pada kemampuan untuk non-administrator untuk memulai atau berhenti secara jarak jauh. Bila perlu, Anda dapat memilih layanan individual dari kebijakan ini dengan menambahkan nama Layanan RemoteAccessCheckExemptionList REG_MULTI_SZ nilai registri di lokasi registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Pilih mulai, pilih Jalankan, ketik regedit di kotak buka , dan kemudian klik OK.

  2. Temukan dan kemudian pilih subkunci berikut dalam registri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Catatan jika subkunci tidak ada, Anda harus membuatnya: pada Edit menu, pilih baru, dan kemudian pilih kunci. Ketik nama subkunci baru dan kemudian tekan Enter.

  3. Pada Edit menu, arahkan ke baru, dan kemudian pilih Nilai REG_MULTI_SZ.

  4. Ketik RemoteAccessCheckExemptionList untuk nama nilai REG_MULTI_SZ, dan kemudian tekan Enter.

  5. Klik dua kali nilai RemoteAccessCheckExemptionList , ketik nama layanan untuk dibebaskan dari kebijakan baru, kemudian klik OK.

  6. Keluar dari Penyunting Registri, kemudian mulai ulang komputer.

Administrator yang ingin global menonaktifkan pemulihan dan cek baru ini perilaku lama, aman kurang, dapat menetapkan nilai registri REG_DWORD RemoteAccessExemption ke nilai bukan nol di lokasi registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Catatan Menetapkan nilai ini untuk sementara bisa cara cepat untuk menentukan apakah model izin baru ini merupakan penyebab masalah kompatibilitas aplikasi.

Untuk melakukannya, ikuti langkah-langkah berikut:

  1. Pilih mulai, pilih Jalankan, ketik regedit di kotak buka , dan kemudian klik OK.

  2. Temukan dan kemudian klik subkunci berikut dalam registri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Pada Edit menu, arahkan ke baru, dan kemudian pilih nilai REG_DWORD (32-bit).

  4. Ketik RemoteAccessExemption untuk nama nilai REG_DWORD, dan kemudian tekan Enter.

  5. Klik dua kali nilai RemoteAccessExemption , masukkan 1 dalam kolom nilai data , dan kemudian klik OK.

  6. Keluar dari Penyunting Registri, kemudian mulai ulang komputer.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×