Riepilogo

In questo articolo vengono descritti una variazione inizio dei criteri di protezione con Windows 10 versione 1709 e Windows Server 2016 versione 1709. Sotto il nuovo criterio, solo gli utenti sono amministratori locali su un computer remoto è possono avviare o arrestare servizi su tale computer.

In questo articolo viene inoltre descritto come scegliere singoli servizi da questo nuovo criterio.

Ulteriori informazioni

Un errore di protezione comune consiste nel configurare i servizi per l'utilizzo di un descrittore di protezione eccessivamente permissivo (vedere protezione del servizio e i diritti di accesso) e in tal modo inavvertitamente concedere l'accesso ai chiamanti più remoti rispetto a quello previsto. Ad esempio, è raro trovare i servizi che concedono le autorizzazioni di SERVICE_START o SERVICE_STOP al gruppo Authenticated Users. Mentre lo scopo è in genere di concedere tali diritti solo a utenti non amministrative locali, Utenti autenticati include anche ogni account utente o computer nella foresta di Active Directory, se tale account è un membro del gruppo Administrators di computer locale o remoto. Queste autorizzazioni eccessive, potrebbero essere sfruttate e provocare danni attraverso un'intera rete.

Data la diffusione e la gravità del problema e la pratica di protezione moderne di presupponendo che qualsiasi sufficientemente grande dominio contiene computer compromessi, nuove impostazioni di protezione del sistema è stato introdotto che richiede che i chiamanti remoti anche agli amministratori locali nel computer di richiedono le autorizzazioni del servizio seguente:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ELIMINARE WRITE_DAC WRITE_OWNER

La nuova impostazione di protezione richiede inoltre che i chiamanti remoti siano amministratori locali nel computer per richiedere le seguentidell'autorizzazione Gestione controllo servizi:

SC_MANAGER_CREATE_SERVICE

Nota: Il controllo dell'amministratore locale è oltre il controllo di accesso esistenti contro il servizio o di un descrittore di protezione controller di servizio. Tale impostazione è stata introdotta avvio in Windows 10 versione 1709 e in Windows Server 2016 versione 1709. Per impostazione predefinita, l'impostazione è attivata.

Questo nuovo controllo potrebbe causare problemi per alcuni utenti di servizi che si basano sulla capacità per non amministratori di avviare o arrestare tali in modalità remota. Se necessario, è possibile scegliere i singoli servizi da questo criterio aggiungendo il nome del servizio per il valore del Registro di sistema REG_MULTI_SZ RemoteAccessCheckExemptionList nella seguente posizione del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

A tal fine, attenersi alla seguente procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Nota se la sottochiave non esiste, è necessario crearlo: dal menu Modifica , scegliere Nuovo, quindi chiave. Digitare il nome della nuova sottochiave, quindi premere INVIO.

  3. Dal menu Modifica , scegliere Nuovoe quindi selezionare Valore REG_MULTI_SZ.

  4. Digitare RemoteAccessCheckExemptionList per il nome del valore REG_MULTI_SZ e quindi premere INVIO.

  5. Fare doppio clic sul valore RemoteAccessCheckExemptionList , digitare il nome del servizio da esonerare dal nuovo criterio, quindi fare clic su OK.

  6. Chiudere l'editor del Registro di sistema e riavviare il computer.

Gli amministratori che desiderano disattivare globalmente questo nuovo controllo e il ripristino il comportamento precedente, meno sicura, impostare il valore di registro REG_DWORD RemoteAccessExemption su un valore diverso da zero nel seguente percorso del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Nota: Temporaneamente l'impostazione di questo valore può essere un modo rapido per determinare se questo nuovo modello di autorizzazione è la causa di problemi di compatibilità delle applicazioni.

A tal fine, attenersi alla seguente procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Dal menu Modifica , scegliere Nuovoe quindi selezionare il valore REG_DWORD (32-bit).

  4. Digitare RemoteAccessExemption per il nome del valore REG_DWORD e quindi premere INVIO.

  5. Fare doppio clic sul valore RemoteAccessExemption , immettere 1 nel campo dati valore e quindi fare clic su OK.

  6. Chiudere l'editor del Registro di sistema e riavviare il computer.

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×