Prisijunkite prie „Microsoft“
Prisijunkite arba sukurkite paskyrą.
Sveiki,
Pasirinkti kitą paskyrą.
Turite kelias paskyras
Pasirinkite paskyrą, kurią naudodami norite prisijungti.

Suvestinė

Šiame straipsnyje aprašoma, pakeisti saugos strategijos pradžios Windows 10 versijos 1709 ir Windows Server 2016 1709 versija. Pagal naują strategiją, tik vartotojams, kurie yra vietinio kompiuterio administratoriai gali pradėti ar sustabdyti paslaugos tame kompiuteryje.

Šiame straipsnyje taip pat aprašoma, kaip pasirinkti atskiras tarnybas iš šią naują strategiją.

Daugiau informacijos

Bendrosios apsaugos klaida yra sukonfigūruoti tarnybą ir naudoti yra labai rekomenduojamas saugos aprašas (žr. apsaugos ir prieigos teisių), ir taip netyčia suteikti prieigą prie daugiau nuotolinio skambinant, nei numatyta. Pvz., nėra neįprastas rasti paslaugas, suteikti autentifikuoti vartotojai SERVICE_START arba SERVICE_STOP teises. Nors tyčia paprastai yra skirti tik jas vietos esantys ne administratoriaus vartotojai, Autentifikuoti vartotojai taip pat yra kiekvieno vartotojo arba kompiuterio abonementą Active Directory miške, ar ta paskyra yra administratorių grupės narys, Nuotolinis ir vietinis kompiuteris. Per daug šios teisės gali būti piktnaudžiaujama ir sužlugdyti visą tinklą.

Jeigu pralaidumą ir galimybės šios problemos svarbą ir modernus saugos praktika darant prielaidą, kad visi pakankamai didelis domene yra užkrėsti kompiuteriai, naują sistemos saugos parametrus pristatyta, reikalauja, kad nuotolinio skambinant taip pat vietinio kompiuterio administratoriai būtų galima prašyti šių pakeitimų teisės:

SERVICE_CHANGE_CONFIG SERVICE_START SERVICE_STOP SERVICE_PAUSE_CONTINUE PANAIKINTI WRITE_DAC WRITE_OWNER

Naujas saugos parametras taip pat reikalauja, kad nuotolinio skambinant vietinio kompiuterio prašyti toliau administratoriaipaslaugų tvarkytuvo teises:

SC_MANAGER_CREATE_SERVICE

Pastaba. Šis vietinio administratoriaus patikrinti, ar yra be esamų prieigos žymės nuo tarnybos arba tarnybos valdiklio saugos aprašą. Šį parametrą "pristatyta" paleisti "Windows 10" versiją 1709 "ir" Windows Server 2016 1709 versija. Pagal numatytuosius parametrus parametras yra įjungta.

Šis naujas žymės gali kilti problemų, kai kurie Klientai, kurie paslaugų, kurios naudoja ne administratoriai, Norėdami pradėti ar sustabdyti juos nuotoliniu būdu galimybę. Jei reikia, galite pasirinkti atskiras tarnybas iš šią strategiją, pridedant tarnybos pavadinimas RemoteAccessCheckExemptionList REG_MULTI_SZ registro reikšmę registro šioje vietoje:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM

Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Pasirinkite pradėti, pasirinkite vykdyti, įveskite regedit lauke atidaryti ir spustelėkite gerai.

  2. Raskite ir pažymėkite šį dalinį raktą registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\SCM Pastaba jei dalinio rakto nėra, jį reikia sukurti: Redaguoti meniu, pasirinkite naujasir tada pasirinkite raktą. Įveskite naują dalinio registro rakto pavadinimą ir paspauskite klavišą Enter.

  3. Dėl to Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir pasirinkite REG_MULTI_SZ reikšmė.

  4. Įveskite RemoteAccessCheckExemptionList REG_MULTI_SZ reikšmė, vardo, ir tada paspauskite Enter.

  5. Dukart spustelėkite reikšmę RemoteAccessCheckExemptionList , įveskite tarnybos atleisti nuo naują strategiją, tada spustelėkite gerai.

  6. Uždarykite registro rengyklę ir iš naujo paleiskite kompiuterį.

Administratoriai, kurie nori visame pasaulyje išjungti šį naują tikrinimą ir atkūrimo senesnės, mažiau saugų veikimą, galite nustatyti RemoteAccessExemption REG_DWORD registro reikšmė vertė nėra nulis registro šioje vietoje:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

Pastaba. Nustačius šią reikšmę laikinai gali būti greitas būdas nustatyti, ar ši nauja teisių suteikimo modelis sukelia taikomųjų programų suderinamumo problemas.

Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Pasirinkite pradėti, pasirinkite vykdyti, įveskite regedit lauke atidaryti ir spustelėkite gerai.

  2. Raskite ir spustelėkite šį registro dalinį raktą: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

  3. Dėl to Redaguoti meniu, perkelkite pelės žymiklį ant naujas, ir pasirinkite REG_DWORD (32 bitų) reikšmė.

  4. REG_DWORD reikšmės pavadinimą įveskite RemoteAccessExemption ir paspauskite Enter.

  5. Dukart spustelėkite reikšmę RemoteAccessExemption , reikšmės duomenų lauke įveskite 1 , ir tada spustelėkite gerai.

  6. Uždarykite registro rengyklę ir iš naujo paleiskite kompiuterį.

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Galimos funkcijos Bendruomenė

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.

Klauskite „Microsoft“ bendruomenės

„Microsoft“ technologijų bendruomenė

„Windows Insider Preview“ programos dalyviai

„Microsoft 365“ „Insider“ programos dalyviai

Ar ši informacija buvo naudinga?

Ar esate patenkinti kalbos kokybe?
Kas turėjo įtakos jūsų įspūdžiams?
Paspaudus mygtuką Pateikti, jūsų atsiliepimai bus naudojami tobulinant „Microsoft“ produktus ir paslaugas. Jūsų IT administratorius galės rinkti šiuos duomenis. Privatumo patvirtinimas.

Dėkojame už jūsų atsiliepimą!

×