Riepilogo
In questo articolo vengono descritti una variazione inizio dei criteri di protezione con Windows 10 versione 1709 e Windows Server 2016 versione 1709. Sotto il nuovo criterio, solo gli utenti sono amministratori locali su un computer remoto è possono avviare o arrestare servizi su tale computer.
In questo articolo viene inoltre descritto come scegliere singoli servizi da questo nuovo criterio.
Ulteriori informazioni
Un errore di protezione comune consiste nel configurare i servizi per l'utilizzo di un descrittore di protezione eccessivamente permissivo (vedere protezione del servizio e i diritti di accesso) e in tal modo inavvertitamente concedere l'accesso ai chiamanti più remoti rispetto a quello previsto. Ad esempio, è raro trovare i servizi che concedono le autorizzazioni di SERVICE_START o SERVICE_STOP al gruppo Authenticated Users. Mentre lo scopo è in genere di concedere tali diritti solo a utenti non amministrative locali, Utenti autenticati include anche ogni account utente o computer nella foresta di Active Directory, se tale account è un membro del gruppo Administrators di computer locale o remoto. Queste autorizzazioni eccessive, potrebbero essere sfruttate e provocare danni attraverso un'intera rete.
Data la diffusione e la gravità del problema e la pratica di protezione moderne di presupponendo che qualsiasi sufficientemente grande dominio contiene computer compromessi, nuove impostazioni di protezione del sistema è stato introdotto che richiede che i chiamanti remoti anche agli amministratori locali nel computer di richiedono le autorizzazioni del servizio seguente:
SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ELIMINARE WRITE_DAC WRITE_OWNER
La nuova impostazione di protezione richiede inoltre che i chiamanti remoti siano amministratori locali nel computer per richiedere le seguentidell'autorizzazione Gestione controllo servizi:
SC_MANAGER_CREATE_SERVICE
Nota: Il controllo dell'amministratore locale è oltre il controllo di accesso esistenti contro il servizio o di un descrittore di protezione controller di servizio. Tale impostazione è stata introdotta avvio in Windows 10 versione 1709 e in Windows Server 2016 versione 1709. Per impostazione predefinita, l'impostazione è attivata.
Questo nuovo controllo potrebbe causare problemi per alcuni utenti di servizi che si basano sulla capacità per non amministratori di avviare o arrestare tali in modalità remota. Se necessario, è possibile scegliere i singoli servizi da questo criterio aggiungendo il nome del servizio per il valore del Registro di sistema REG_MULTI_SZ RemoteAccessCheckExemptionList nella seguente posizione del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM
A tal fine, attenersi alla seguente procedura:
-
Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
-
Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Nota se la sottochiave non esiste, è necessario crearlo: dal menu Modifica , scegliere Nuovo, quindi chiave. Digitare il nome della nuova sottochiave, quindi premere INVIO.
-
Dal menu Modifica , scegliere Nuovoe quindi selezionare Valore REG_MULTI_SZ.
-
Digitare RemoteAccessCheckExemptionList per il nome del valore REG_MULTI_SZ e quindi premere INVIO.
-
Fare doppio clic sul valore RemoteAccessCheckExemptionList , digitare il nome del servizio da esonerare dal nuovo criterio, quindi fare clic su OK.
-
Chiudere l'editor del Registro di sistema e riavviare il computer.
Gli amministratori che desiderano disattivare globalmente questo nuovo controllo e il ripristino il comportamento precedente, meno sicura, impostare il valore di registro REG_DWORD RemoteAccessExemption su un valore diverso da zero nel seguente percorso del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
Nota: Temporaneamente l'impostazione di questo valore può essere un modo rapido per determinare se questo nuovo modello di autorizzazione è la causa di problemi di compatibilità delle applicazioni.
A tal fine, attenersi alla seguente procedura:
-
Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.
-
Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
-
Dal menu Modifica , scegliere Nuovoe quindi selezionare il valore REG_DWORD (32-bit).
-
Digitare RemoteAccessExemption per il nome del valore REG_DWORD e quindi premere INVIO.
-
Fare doppio clic sul valore RemoteAccessExemption , immettere 1 nel campo dati valore e quindi fare clic su OK.
-
Chiudere l'editor del Registro di sistema e riavviare il computer.