Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riepilogo

In questo articolo vengono descritti una variazione inizio dei criteri di protezione con Windows 10 versione 1709 e Windows Server 2016 versione 1709. Sotto il nuovo criterio, solo gli utenti sono amministratori locali su un computer remoto è possono avviare o arrestare servizi su tale computer.

In questo articolo viene inoltre descritto come scegliere singoli servizi da questo nuovo criterio.

Ulteriori informazioni

Un errore di protezione comune consiste nel configurare i servizi per l'utilizzo di un descrittore di protezione eccessivamente permissivo (vedere protezione del servizio e i diritti di accesso) e in tal modo inavvertitamente concedere l'accesso ai chiamanti più remoti rispetto a quello previsto. Ad esempio, è raro trovare i servizi che concedono le autorizzazioni di SERVICE_START o SERVICE_STOP al gruppo Authenticated Users. Mentre lo scopo è in genere di concedere tali diritti solo a utenti non amministrative locali, Utenti autenticati include anche ogni account utente o computer nella foresta di Active Directory, se tale account è un membro del gruppo Administrators di computer locale o remoto. Queste autorizzazioni eccessive, potrebbero essere sfruttate e provocare danni attraverso un'intera rete.

Data la diffusione e la gravità del problema e la pratica di protezione moderne di presupponendo che qualsiasi sufficientemente grande dominio contiene computer compromessi, nuove impostazioni di protezione del sistema è stato introdotto che richiede che i chiamanti remoti anche agli amministratori locali nel computer di richiedono le autorizzazioni del servizio seguente:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE ELIMINARE WRITE_DAC WRITE_OWNER

La nuova impostazione di protezione richiede inoltre che i chiamanti remoti siano amministratori locali nel computer per richiedere le seguentidell'autorizzazione Gestione controllo servizi:

SC_MANAGER_CREATE_SERVICE

Nota: Il controllo dell'amministratore locale è oltre il controllo di accesso esistenti contro il servizio o di un descrittore di protezione controller di servizio. Tale impostazione è stata introdotta avvio in Windows 10 versione 1709 e in Windows Server 2016 versione 1709. Per impostazione predefinita, l'impostazione è attivata.

Questo nuovo controllo potrebbe causare problemi per alcuni utenti di servizi che si basano sulla capacità per non amministratori di avviare o arrestare tali in modalità remota. Se necessario, è possibile scegliere i singoli servizi da questo criterio aggiungendo il nome del servizio per il valore del Registro di sistema REG_MULTI_SZ RemoteAccessCheckExemptionList nella seguente posizione del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

A tal fine, attenersi alla seguente procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Nota se la sottochiave non esiste, è necessario crearlo: dal menu Modifica , scegliere Nuovo, quindi chiave. Digitare il nome della nuova sottochiave, quindi premere INVIO.

  3. Dal menu Modifica , scegliere Nuovoe quindi selezionare Valore REG_MULTI_SZ.

  4. Digitare RemoteAccessCheckExemptionList per il nome del valore REG_MULTI_SZ e quindi premere INVIO.

  5. Fare doppio clic sul valore RemoteAccessCheckExemptionList , digitare il nome del servizio da esonerare dal nuovo criterio, quindi fare clic su OK.

  6. Chiudere l'editor del Registro di sistema e riavviare il computer.

Gli amministratori che desiderano disattivare globalmente questo nuovo controllo e il ripristino il comportamento precedente, meno sicura, impostare il valore di registro REG_DWORD RemoteAccessExemption su un valore diverso da zero nel seguente percorso del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Nota: Temporaneamente l'impostazione di questo valore può essere un modo rapido per determinare se questo nuovo modello di autorizzazione è la causa di problemi di compatibilità delle applicazioni.

A tal fine, attenersi alla seguente procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit nella casella Apri e quindi fare clic su OK.

  2. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Dal menu Modifica , scegliere Nuovoe quindi selezionare il valore REG_DWORD (32-bit).

  4. Digitare RemoteAccessExemption per il nome del valore REG_DWORD e quindi premere INVIO.

  5. Fare doppio clic sul valore RemoteAccessExemption , immettere 1 nel campo dati valore e quindi fare clic su OK.

  6. Chiudere l'editor del Registro di sistema e riavviare il computer.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×